نوع جدیدی از باج‌افزار Troldesh

باج‌افزاری که خود را از طریق URL وب‌سایت‌های ناامن منتشر می‌کند

نوع جدیدی از باج‌افزار Troldesh، طی دو هفته گذشته فعالیتش را دوچندان کرده و خود از طریق وب‌سایت‌های به خطر افتاده توزیع می‌کند. بازیگران تهدید پخش کننده این بدافزار با ارسال ایمیل و پیام بر روی پلتفرم‌های شبکه‌های اجتماعی، قربانیان را به مراجعه به آدرس‌های اینترنتی مخرب ترغیب می‌کنند.

به گفته محققان امنیتی Sucuri، وقتی کسی روی URL مخرب کلیک کند، بارگذاری پرونده PHP تکمیل می‌شود و در مرحله بعد، یک فایل جاوا اسکریپت در رایانه قربانی بارگیری می‌شود. این پرونده جاوا اسکریپت، فرایند دانلود فایل محتوی باج‌افزار را با آلوده کردن رایانه قربانی، ایجاد می‌کند.

محققان همچنین اضافه کردند که مهاجمان حداقل از دو URL مخرب موجود در وب‌سایت‌های به خطر افتاده استفاده می‌کنند، تا در صورت توقف عملکرد یکی از URLها، URL دوم بتواند دنباله اقدامات مخرب را بر عهده بگیرد.

این بدافزار برای هدف قرار دادن سیستم‌عامل ویندوز مورد استفاده قرار می‌گیرد، زیرا از فایل‌هایی با فرمت جاوا اسکریپت استفاده می‌کند. پرونده‌های اجرایی بدافزار Troldesh با دقت در رایانه قربانیان ذخیره می‌شوند. در مرحله اول، اسکریپت اجرایی بدافزار، دایرکتوری‌های مهم سیستم‌عامل ویندوز را اسکن کرده و به دست می آورد. سپس اسکریپت بدافزار یک فهرست راهنما ایجاد می کند تا پرونده های اجرایی مخرب را در رایانه قربانیان ذخیره کند. سپس اسکریپت بدافزار یک دایرکتوری اتفاقی ایجاد می‌کند تا پرونده‌های اجرایی مخرب را در رایانه قربانیان ذخیره کند.

در این گزارش محققان اشاره شده است که باج‌افزار Troldesh تا یک حد مشخصی می‌تواند خود را در سیستم پرونده ویندوز مخفی نگه دارد. براساس این گزارش، فایل مخرب جاوا اسکریپت که به عنوان میزبان عمل می‌کند، به میزان 57٪ توسط نرم‌افزار‌های آنتی ویروسی قابل تشخیص است. علاوه بر این، پرونده باج‌افزار بارگیری شده در رایانه قربانیان 82 درصد تخمین زده شده است.

اگر برنامه آنتی‌ویروس نصب شده بر روی کامپیوتر قربانیان، فایل میزبان مخرب یا پرونده اجرایی باج افزار را شناسایی نکند، باج افزار شروع به رمزگذاری فایل‌ها می‌کند.

در صورت عدم کارکرد آدرس ایمیل برای ایجاد ارتباط با رایانه قربانی، بازیگر تهدید از onion URL. به عنوان جایگزین برای ایجاد ارتباط با رایانه استفاده می‌کند. محققان اظهار داشتند که این ویژگی به جدیدترین نوع باج افزار Troldesh اضافه شده است.

 

 

خروج از نسخه موبایل