ویروس آلوده کننده فایل

باراک اوباما؛ باج‌افزاری که به فایل‌های EXE رحم نمی‌کند!

محققان از شناسایی باج‌افزاری با عنوان Barack Obama’s Everlasting Blue Blackmail Virus خبر داده‌اند که تنها بر روی رمزگذاری فایل‌های با پسوند EXE تمرکز می‌کند. این باج‌افزار با نمایش پنجره‌ای حاوی تصویر باراک اوباما، رییس جمهور سابق آمریکا، در پیامی از قربانی درخواست “انعام” برای بازگردانی فایل‌های رمز شده می‌کند!

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار مذکور، به‌محض اجرا شدن، تلاش می‌کند تا پروسه‌های متعلق به محصولات ضدویروس را با اجرای فرمان taskkill و استفاده از دو سوییچ f /im/ متوقف کند.

در ادامه دستگاه برای یافتن فایل‌های با پسوند EXE مورد پویش قرار می‌گیرد. حتی آن دسته از فایل‌های EXE که در پوشه Windows قرار دارند نیز از گزند این باج‌افزار در امان نیستند. این در حالی است که در اکثر باج‌افزارها از فایل‌های اجرایی EXE چشم‌پوشی شده و در موارد استثنایی هم که فایل‌های EXE توسط باج‌افزار رمزگذاری می‌شوند، حداقل، پوشه Windows از گزند آن مصون می‌ماند.

از دیگر خرابکاری‌های این باج‌افزار دست‌درازی به کلیدهای مرتبط با فایل‌های EXE در محضرخانه (Registry) است. هدف از این کار تغییر نشان (Icon) فایلهای EXE و اجرای باج‌افزار در هر بار فراخوانی شدن یک فایل با پسوند EXE است. تغییراتی که در محضرخانه ایجاد می‌شود به‌شرح زیر است:

HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags 2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\ C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\ “C:\Users\User\codexgigas_.exe” “%1”

در اطلاعیه باج‌افزار نیز از قربانی خواسته می‌شود تا از طریق نشانی زیر با مهاجمان تماس برقرار کند:

2200287831@qq.com

توضیح اینکه نمونه معرفی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
– Trojan.GenericKD.31170650

McAfee:
– Artemis!16D202AAC280

Sophos:
– Mal/Generic-S

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

2 پاسخ

  1. سلام خسته نباشید یه مشکلی برام پیشومده میشه راهنماییم کنید
    بعضی فایلام باز نمیشد تو یه سایتی یه مطلبی خوندم و کارایی ک کرده بود انجام داده گفته بود:
    1- ابتدا از منوی Start وارد پنجره Run شده و آن را اجرا کنید.
    2- عبارت Regedit را تاپ کنید و Enter کنید.
    3- در پنجره Registry Editor به مسیر HKEY_CLASSES_ROOT\.exe بروید.
    4- برروی Default کلیک کنید و اطمینان کنید که در قسمت Value Data عبارت exe File درج شده باشد. درصورتی که این عبارت نبود Value Data را حذف و exe File را وارد و سپس Ok کنید.
    5- سپس به مسیر HKEY_CLASSES_ROOT\exefile\shell\open\command رفته و روی Default کلیک کنید.
    6- اطمینان پیدا کنید که در Value Data عبارت “%۱” %* وارد شده باشد چنانچه این عبارت نبود آن را وارد کنید و Ok کنید.
    7- پنجره رجیستری ( Registry ) را ببندید و سیستم را راه اندازی مجدد ( Restart ) کنید.
    منم اینکارارو کردم بعد هر چیزی میخواستم باز کنم میزنه open with حتی بازی ها و ریجستری
    لطفا راهنماییم کنید ممنون از شما

    پاسخ

    1. با سلام؛

      لطفا یکبار دیگر، این بار با دنبال کردن مراحل درج شده در لینک زیر از صحیح بودن مقدار وارد شده اطمینان حاصل کنید:
      https://www.bitdefender.com/consumer/support/answer/1941/

      در صورت عدم حل مشکل لطفا با گروه پشتیبانی شرکت مهندسی شبکه گستر تماس حاصل کنید.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *