ويروس Ransom

چيست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) دارد و به طور مداوم حضور خود را در دستگاه آلوده کنترل می کند. در دی ماه سال جاری (1390) نمونه جدید این اسب تروا منتشر شده است. براساس نقشه جهانی میزان آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی در روسیه مشاهده شده است.

نامگذاری ها

اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:

McAfee              Ransom!10DA9AAC8AA1
AVG (GriSoft)     Generic2_c.RKZ (Trojan horse)
avira                 TR/Dropper.Gen
Kaspersky         Trojan-Ransom.Win32.DigiPog.ep
BitDefender       Dropped:Trojan.Generic.3303872
Microsoft           Trojan:Win32/Delf.GU
Symantec          Trojan Horse
Eset                  Win32/Agent.FHUEKEI trojan (probably variant)
Panda               Trj/Krap.Y

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد.

انتشار ويروس Ransom! نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

خرابکاری

به محض اجرا شدن ویروس Ransom بر روی یک دستگاه، فایل های مخرب زیر در دستگاه آلوده کپی می شود:

%TEMP%\~C.tmp
%TEMP%\F.tmp
%TEMP%\nss5.tmp\e4u.exe
%TEMP%\nsh4.tmp
%TEMP%\nss5.tmp\lsass.exe
%TEMP%\nss5.tmp\EuroP.exe
%TEMP%\nss5.tmp\CB-WP.exe

با تغییر در مدخل زیر ویروس Ransom باعث غیرفعال شدن نوار ابزار مرورگر IE می شود:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\LOCKED = 1

همینطور این ویروس در cookieهای مرورگر IE تغییر ایجاد می کند و یا آنها را حذف می کند.

همچنین با تغییر در مدخل زیر با هر بار راه اندازی مجدد سیستم، نام فایل آلوده nss5.tmp\CB-WP.exe تغییر می کند.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\SESSION MANAGER\PENDINGFILERENAMEOPERATIONS = \??\%TEMP%\nss5.tmp\CB-WP.exe

ویروس Ransom سعی می کند با نشانی های زیر اتصال برقرار کند:

–       67.148.71.**:80
–       65.54.95.**:80
–       23.3.105.***:80
–       23.3.105.**:80
–       64.4.21.**:80
–       207.46.193.***:80
–       204.154.111.**:80
–       65.55.5.***:80
–       207.46.140.**:80
–       204.160.103.***:80
–       209.234.225.***:80
–       199.59.241.***:80
–       hxxp://www.microsoft.com/isapi/*****
–       hxxp://abtdiagnostic.com/utaigom/*****
–       65.55.206.***:80

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6570 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *