نماد سایت اتاق خبر شبکه گستر

انتشار همزمان Locky و GlobeImposter؛ ایران، یکی از فرستندگان اصلی هرزنامه‌های ناقل

شرکت ضدویروس TrendMicro از فعالیت گسترده کارزارهایی هرزنامه‌ای خبر داده که هدف آنها توزیع دو باج‌افزار مخرب Locky و GlobeImposter گزارش شده است.

هرزنامه‌های مذکور در ظاهر یک صورتحساب الکترونیکی حاوی لینک و پیوستی مخرب هستند.

به گزارش شرکت مهندسی شبکه گستر، پیوست این هرزنامه‌ها فایلی فشرده شده با پسوند 7z یا 7zip است. اسکریپت درون فایل فشرده شده و فایلی که لینک درج شده در متن هرزنامه به آن اشاره می‌کند با وجود شباهت هایی که دارند به نشانی‌های متفاوتی متصل می‌شوند.

اسکریپت دریافت شده از طریق لینک درون هرزنامه، حاوی نشانی‌های زیر است:

اما اسکریپت درون فایل فشرده شده پیوست هرزنامه، نشانی‌های زیر را در خود دارند:

نکته قابل توجه اینکه هر یک از نشانی‌های مذکور، برای دوره‌ای به فایل مخرب اجرایی نسخه lukitus و برای دوره‌ای دیگر به فایل اجرا کننده GlobeImposter اشاره می‌کنند.

این تغییر و جایگزینی درعمل سبب می‌شود که سازمان به طور همزمان هدف دو باج‌افزار قرار گیرد.

شرکت TrendMicro بر اساس نشانی‌های IP رصد شده، اعلام کرده که هرزنامه‌های مذکور از 185 کشورارسال شده‌اند. ضمن اینکه سه کشور هند، ویتنام و ایران بیشترین سهم از این ارسال‌ها را به خود اختصاص داده‌اند.

توضیح اینکه نمونه‌های بررسی اشاره شده در این خبر با نام‌های زیر شناسایی می‌شوند.

McAfee
   – VBS/Downloader.ea
   – Generic Downloader.z
   – RDN/Ransom
   – Ransomware-GBY!2291E9935582

Bitdefender
   – Trojan.VBS.Downloader.ADR
   – Trojan.GenericKD.5942787
   – Trojan.Ransom.CerberKD.5941322

جزئیات بیشتر در خصوص باج‌افزار Locky در اینجا  و خصوصیات باج‌افزار GlobeImposter در اینجا قابل دریافت و مطالعه است.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل