هشدارهای افتایی
تکامل باج‌افزار Sodinokibi – که با نام REvil نیز شناخته می‌شود – همچنان ادامه دارد؛ در جدیدترین مورد، گردانندگان آن اقدام به افزودن قابلیتی کرده‌اند که باج‌افزار را قادر به رمزگذاری، حتی در زمانی که فایل توسط پروسه‌ای دیگر، باز یا قفل شده است می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی SecurityAffairs، بسیاری از برنامه‌ها با قفل کردن فایل، از تغییر همزمان آن توسط پروسه‌ای دیگر جلوگیری می‌کنند. ضمن اینکه در سیستم عامل Windows زمانی که فایلی توسط پروسه‌ای باز و مدیریت می‌شود از نوشته شدن در آن فایل توسط یک پروسه دیگر جلوگیری می‌شود.
بنابراین بدون از کار انداختن پروسه اول، نمی‌توان فایل‌های قفل شده توسط آن را رمزگذاری کرد. به همین خاطر بسیاری از باج‌افزارها برنامه‌های متداولی همچون نرم‌افزارهای پایگاه داده و سرورهای ایمیل را قبل از رمزگذاری فایل‌ها متوقف می‌کنند.
اکنون محققان اعلام کرده‌اند که نسخه جدید Sodinokibi که از آن با عنوان Version 2.2 یاد می‌شود از یکی از رابط‌های برنامه‌نویسی Microsoft با نام Windows Restart Manager برای بستن پروسه‌ها و سرویس‌های Windows که فایل‌های هدف این باج‌افزار را قفل می‌کنند بهره می‌گیرد.
تصویر زیر بخشی از کد باج‌افزار را نشان می‌دهد که در آن از رابط برنامه‌نویسی Windows Restart Manager استفاده شده است.
 

هدف Microsoft از پیاده‌سازی Windows Restart Manager کاهش راه‌اندازی‌های مجدد (Restart) سیستم، در جریان تکمیل فرایندهای نصب و به‌روزرسانی است. در مستندات این شرکت اشاره شده که دلیل لزوم راه‌اندازی مجدد سیستم در حین نصب و به‌روزرسانی برخی نرم‌افزارها، استفاده شدن بعضی فایل‌های نیازمند به‌روزرسانی توسط یک برنامه یا سرویس دیگر است. Windows Restart Manager امکان متوقف کردن و راه‌اندازی مجدد نمودن تمامی سرویس‌ها را – به‌غیر از سرویس‌های حیاتی سیستم – فراهم می‌کند. موضوعی که سبب آزاد شدن فایل‌های مورد استفاده و تکمیل عملیات نصب می‌شود.
از باج‌افزارهایی که از قبل از Sodinokibi از Windows Restart Manager استفاده کرد‌ه‌اند می‌توان به SamSam و LockerGoga اشاره کرد.
همچنین یکی از محققان اعلام کرده که REvil Decryptor v2.2 نیز مجهز به قابلیت استفاده از  Windows Restart Managerبرای از کاراندازی پروسه‌هایی که مانع از رمزگشایی فایل‌ها می‌شوند شده است. REvil Decryptor ابزار رمزگشایی ساخته شده توسط گردانندگان این باج‌افزار است.
 
جزییات بیشتر در مورد نسخه جدید Sodinokibi در لینک زیر قابل مطالعه است:
https://blog.intel471.com/2020/05/04/changes-in-revil-ransomware-version-2-2/

نشانه‌های آلودگی:
درهم‌ساز
•    ffe7fe45327645a48ca83b7dd4586de22618206001b7a7354d9d285e0308f195
•    774354fe16764fa513052ff714048858cb315691599a08d13ba56be1c796a16d
منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.