Anatova؛ باج‌افزار متولد اول ژانویه

انتشار : ۱۳۹۷/۱۱/۰۹در گروه: بدافزارهابازدید:

شرکت مک‌آفی از شناسایی باج‌افزار جدیدی با عنوان Anatova خبر داده که با جا زدن خود به‌عنوان یک بازی کامپیوتری کاربر را تشویق به اجرای آن می‌کند.

Anatova برنامه‌ای با معماری 64 بیتی است که در اولین روز سال میلادی جاری کامپایل شده است.

این باج‌افزار که مک‌آفی، نویسنده یا نویسندگان آن را حرفه‌ای توصیف کرده است از روش‌های متعددی برای مخفی کردن خود از دید محصولات امنیتی و تحلیلگران بدافزار استفاده می‌کند. از جمله این روش‌ها می‌توان به موارد زیر اشاره کرد:

بسیاری از بخش‌های کد، توسط کلیدهای مختلف رمزگذاری شده است.
90 درصد از فراخوانی‌های Anatova به‌صورت پویا انجام می‌شود.
از توابع معمول سیستم عامل و کتابخانه‌های استاندارد زبان برنامه‌نویسی C بهره گرفته شده است.
در صورتی که نام کاربری سیستمی که به این باج‌افزار آلوده شده است معادل LaVirulera،و Tester،و Analyst،و Lab و Malware باشد، Anatova اجرای خود را متوقف می‌کند. مشخص است که استفاده از چنین نام‌های کاربری میان تحلیلگران بدافزار کاری رایج و متداول محسوب می‌شود.

به گزارش شرکت مهندسی شبکه گستر، هدف Anatova نیز همانند سایر باج‌افزارها رمزگذاری فایل‌های کاربر و پوشه های اشتراکی و اخاذی در ازای آن چه که نویسندگان آن بازگرداندن فایل‌ها به حالت اولیه می‌خوانند است. مبلغ اخاذی شده در این نسخه 10 دَش معادل حدود 3 میلیون تومان است.

این باج‌افزار از اجرا شدن بر روی سیستم کاربران هر یک از کشورهای زیر خودداری می‌کند:

کشورهای مستقل مشترک‌المنافع
سوریه
مصر
عراق
مراکش
هند

شناسایی کشور کاربر از طریق بررسی زبان فعال شده بر روی سیستم عامل دستگاه او صورت می‌پذیرد.

همچنین این باج‌افزار ضمن استخراج عنوان پروسه‌های اجرا شده، آنها را با فهرست خود مقایسه کرده و در صورت شناسایی هر یک از آنها آن را متوقف می‌کند. دلیل این اقدام آزاد کردن دسترسی به فایل‌هایی نظیر فایل‌های بانک داده است که در هنگام فعال بودن توسط برای مثال نرم‌افزار SQL Server امکان رمزگذاری آنها فراهم نمی‌باشد.

فایل‌ها و پوشه‌های ذخیره شده در پوشه‌های با نام‌های زیر استثنا شده‌ است: