ویروس Ransomبا درجه خطر کم که عملکرد “اسب تروا” (Trojan) دارد و به طور مداوم حضور خود را در دستگاه آلوده کنترل می کند. در دی ماه سال جاری (۱۳۹۰) نمونه جدید این اسب تروا منتشر شده است. براساس نقشه جهانی میزان آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی در روسیه مشاهده شده است.
نامگذاری های ویروس Ransom
این ویروس با نام های زیر توسط ضدویروس های مختلف شناسایی می شود:
McAfee Ransom!10DA9AAC8AA1
AVG (GriSoft) Generic2_c.RKZ (Trojan horse)
avira TR/Dropper.Gen
Kaspersky Trojan-Ransom.Win32.DigiPog.ep
BitDefender Dropped:Trojan.Generic.3303872
Microsoft Trojan:Win32/Delf.GU
Symantec Trojan Horse
Eset Win32/Agent.FHUEKEI trojan (probably variant)
Panda Trj/Krap.Y
انتشار
اسب های تروا برنامه هایی هستند که به عنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد.
انتشار ویروس Ransom! نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می پذیرد. هرزنامه هایی که سعی می کنند کاربر را تشویق به دریافت این اسب تروا کنند، کانال های IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار این اسب تروا هستند.
خرابکاری
به محض اجرا شدن ویروس Ransom بر روی یک دستگاه، فایل های مخرب زیر در دستگاه آلوده کپی می شود:
%TEMP%\~C.tmp
%TEMP%\F.tmp
%TEMP%\nss5.tmp\e4u.exe
%TEMP%\nsh4.tmp
%TEMP%\nss5.tmp\lsass.exe
%TEMP%\nss5.tmp\EuroP.exe
%TEMP%\nss5.tmp\CB-WP.exe
با تغییر در مدخل زیر ویروس Ransom باعث غیرفعال شدن نوار ابزار مرورگر IE می شود:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\LOCKED = 1
همینطور این ویروس در cookieهای مرورگر IE تغییر ایجاد می کند و یا آنها را حذف می کند.
همچنین با تغییر در مدخل زیر با هر بار راه اندازی مجدد سیستم، نام فایل آلوده nss5.tmp\CB-WP.exe تغییر می کند.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\SESSION MANAGER\PENDINGFILERENAMEOPERATIONS = \??\%TEMP%\nss5.tmp\CB-WP.exe
ویروس Ransom سعی می کند با نشانی های زیر اتصال برقرار کند:
– ۶۷٫۱۴۸٫۷۱٫**:۸۰
– ۶۵٫۵۴٫۹۵٫**:۸۰
– ۲۳٫۳٫۱۰۵٫***:۸۰
– ۲۳٫۳٫۱۰۵٫**:۸۰
– ۶۴٫۴٫۲۱٫**:۸۰
– ۲۰۷٫۴۶٫۱۹۳٫***:۸۰
– ۲۰۴٫۱۵۴٫۱۱۱٫**:۸۰
– ۶۵٫۵۵٫۵٫***:۸۰
– ۲۰۷٫۴۶٫۱۴۰٫**:۸۰
– ۲۰۴٫۱۶۰٫۱۰۳٫***:۸۰
– ۲۰۹٫۲۳۴٫۲۲۵٫***:۸۰
– ۱۹۹٫۵۹٫۲۴۱٫***:۸۰
– hxxp://www.microsoft.com/isapi/*****
– hxxp://abtdiagnostic.com/utaigom/*****
– ۶۵٫۵۵٫۲۰۶٫***:۸۰
پیشگیری
به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کلیک بر روی لینک های ناآشنا و پرهیز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره ۶۵۷۰ و بالاتر قادر به شناسایی و پاکسازی این ویروس است.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.