مراقب باج افزار نابود کننده فایل با نام Armage باشید!

Coverpage-650x390آزمایشگاه های امنیتی کوییک هیل یک باج افزار جدید به نام Armage شناسایی کرده است. این باج افزار پسوند ‘.Armage’ را به فایل هایی که رمزگذاری می کند می افزاید.

باج افزار Armage از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل ها استفاده می کند تا غیرقابل استفاده شوند. آن را از طریق هرزنامه های ایمیل و فایل های متنی مخرب منتشر می کند.

آنالیز فنی
هنگامی که بر روی کامپیوتر آلوده اجرا می شود، باج افزار Armage پیام خط فرمان الگوریتم رمزنگاری مورد استفاده خود را باز می کند. شکل ۱ را ببینید.

دستور خط فرمان

شکل ۱٫ دستور خط فرمان

باج افزار برای انجام فعالیت های مخرب و یا رمزگذاری داده ها هیچ گونه مصنوعی را رها نمی کند. کل فعالیت های مخرب (رمزنگاری) توسط فایل مادر خود انجام می شود.

پس از حمله، همانطور که در شکل ۲ نشان داده شده باج افزار با استفاده از Windows API FindFirstFileA، برای رمز گشایی داده ها اولین فایل را به صورت الفبایی جستجو می کند، و برای یافتن فایل بعدی همانطور که در شکل ۳ نشان داده شده است از FindNextFileA API استفاده می کند.

شکل 2. FindFirstfileA API استفاده شده است

شکل ۲٫ FindFirstfileA API استفاده شده است

شکل 3. API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

شکل ۳٫ API FindNextFileA برای یافتن فایل ها به صورت بازگشتی استفاده می شود

پس از رمزگذاری داده ها از پوشه، Armage فرمت ‘Notice.txt’ را رها می کند- یک هشدار باج با سایر جزئیات پرداخت باج ذکر می شود. علاوه بر این، باج افزار فرمت “Notice.txt” را در همه پوشه هایی که داده ها رمزنگاری شده اند، رها می کند.

شکل 4. کد مورد استفاده برای ایجاد یک فایل جدید 'Notice.txt'

شکل ۴٫ کد مورد استفاده برای ایجاد یک فایل جدید ‘Notice.txt’

شکل 5. کد برای نشان دادن جزئیات به قربانی استفاده می شود.

شکل ۵٫ کد برای نشان دادن جزئیات به قربانی استفاده می شود.

هشدار باج نیز در زیر ذکر شده است.

‘فایل هایتان با الگوریتم AES-256 رمزنگاری شده است. برای دریافت کلید رمز به ایمیل: armagedosevin@aol.com پیام بفرستید. ‘

براساس آنالیز فایل PE، متوجه شدیم که باج افزار خود را درون فرآیندهایی که با امتیازات مدیریتی اجرا می شوند تزریق می کند تا بتواند کپی های سایه را با استفاده از فرمان ‘vssadmin delete shadows / all’ حذف کند.

این دستور برنامه vssadmin.exe را اجرا می کند و تمام نسخه ها را بی صدا می کند. شکل ۵ کد مورد استفاده برای حذف کدهای سایه را نشان می دهد.

شکل 6. کد مورد استفاده برای حذف کپی های سایه

شکل ۶٫ کد مورد استفاده برای حذف کپی های سایه

Api-New-300x168

شکل ۷٫ API برای رمزگذاری فایل ها استفاده می شود

در قسمت پایین API های مورد استفاده توسط باج افزار برای رمزگذاری داده ها استفاده می شود

شکل 8. فایل های رمز شده با فرمت '.armage'

شکل ۸٫ فایل های رمز شده با فرمت ‘.armage’

چگونه کوییک هیل از کاربران خود در برابر باج افزار Armor محافظت می کند

کوییک هیل با موفقیت Armage را با لایه های محافظتی چند لایه زیر مسدود می کند:

محفاظت از ویروس
شناسایی مبتنی بر رفتار
ضد-باج افزار

شکل 9. سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل ۹٫ سیستم شناسایی مبتنی بر رفتار، تروجان را مسدود می کند.

شکل 10. ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

شکل ۱۰٫ ابزار ضد-باج افزار، بدافزار را نیز مسدود می کند

چگونه در برابر حملات باج افزار ایمن بمانیم

  • همیشه از داده های مهم خود در درایو های خارجی مانند هارد دیسک و فلش پشتیبان تهیه کنید. از یک سرویس ابری قابل اطمینان برای ذخیره داده ها استفاده کنید.
    هرگز نسخه های نرم افزاری رایگان و یا کرک شده را نصب نکنید.
    هرگز صفحات تبلیغاتی نشان داده شده در وبسایت ها را بدون دانستن اینکه آنها واقعی هستند، باز نکنید.
    هنگام استفاده از MS Office، ماکروها را غیرفعال کنید.
    به منظور محافظت از سیستم خود در برابر تهدیدات ناشناخته، آنتی ویروس خود را به روز کنید.
    هرگز بر روی لینک ها یا فایل های دانلودی موجود در ایمیل های ناشناخته یا ناخواسته کلیک نکنید.
ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , | پاسخ دهید:

کسب امتیاز ۹۹٫۵٪ توسط توتال سکیوریتی کوییک هیل (ویندوز) در آزمون AV-Comparatives

Quick_Heal_AV_Comparativesتوتال سکیوریتی کوییک هیل (ویندوز) رتبه ۹۹٫۵٪ را در آزمون حفاظت جهان واقعی که توسط آزمایش کنندگان نرم افزار امنیتی AV-Comparatives پیشرو در جهان کسب کرد. ادامه‌ی خواندن

ارسال شده در عمومی | پاسخ دهید:

۳ نوع از حملات فیشینگ و راهنمایی برای جلوگیری از آنها

types_of_phishing_attacksفیشینگ یکی از قدیمی ترین کلاهبرداری ها در کتاب هکرها است. اما به هر حال ممکن است فیشینگ همچنان ابزار سودآورتری برای مجرمان سایبری باشد. این خبر در مورد ۳ نوع از حملات معمول فیشینگ می باشد و برای جلوگیری از آنها شما را راهنمایی می کند. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , | پاسخ دهید:

حملات باج افزار پتیا سراسر دنیا را فرا گرفت، روش های پیشگیری از باج افزار Petya!

petya_ransomware_quick_healآزمایشگاه های امنیتی کوییک هیل به یک نسخه جدید از باج افزار پتیا دست یافتند که کاربران در سطح جهان را تحت تأثیر قرار می دهد. به نظر می رسد این نشانه های اولیه یک حمله باج افزار جدید می باشد که به سرعت در سراسر جهان درحال گسترش است. در حال حاضر، چندین گزارش متعدد از کشورهای مختلف درباره این نوع حمله باج افزار مشاهده کردیم. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , , , , , , , , , , , , , | پاسخ دهید:

۸ نکته برای جلوگیری از حمله جاسوس افزارها

8_tips_to_avoid_spywareجاسوس افزارها، نرم افزارهایی هستند که فعالیت های اینترنت گردی شما را جاسوسی کرده، ضربه های روی صفحه کلید را ضبط کرده و تقریبا هر نوع داده ای از جمله اطلاعات شخصی تان مانند کارت اعتباری و یا اطلاعات بانکی، شناسه های ورود و رمز عبور را جمع آوری می کند. در این خبر، ما ۸ راهکار برای جلوگیری از حمله جاسوس افزارها ارائه می دهیم و اطلاعات شما را ایمن نگه می داریم. ادامه‌ی خواندن

ارسال شده در عمومی | برچسب‌شده , , , , , , , , , , , , , | پاسخ دهید:

باج افزار Thanatos – آنالیز توسط آزمایشگاه های امنیتی کوییک هیل

Thanatos_Ransomwareآزمایشگاه های امنیتی کوییک هیل باج افزار جدیدی با تکنیک رمزنگاری AES کشف کرده که پس از رمزگذاری فایل های قربانی ۰٫۰۱ بیتکوین باج درخواست می کند که به باج افزار Thanatos معروف است. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , | پاسخ دهید:

نمی توان میزان آسیب بدافزارهای اندروید مورد استفاده هکرها را تخمین زد

sanjay-katkar-quick-heal-techسانجای کتکار، مدیر ارشد فنی شرکت کوییک هیل می گوید که باج افزارها بزرگترین مشکل در سال ۲۰۱۷ محسوب شده و انتشار گسترده آن و ضربه ای که به بسیاری از کاربران وارد کرده باعث شده تا افراد به دنبال راهکارهای امنیتی بگردند. ادامه‌ی خواندن

ارسال شده در کوییک هیل | برچسب‌شده , , , , , , , , | پاسخ دهید:

مراقب کلاهبرداری واتساپ که وعده کفش رایگان آدیداس می دهد باشید!

WhatsApp_Scam_Adidas_Scam1یک روز صبح از طرف دوستم پیامی دریافت کردم. فکر کردم پیام صبح بخیر معمولی است اما متن پیام به شرح زیر بود:
“آدیداس برای نودو سومین جشن سالگرد خود ۳۰۰۰ جفت کفش رایگان اختصاص داده است. کفش هایتان را دریافت کنید <link>”

ادامه‌ی خواندن

ارسال شده در عمومی | برچسب‌شده , , , , , , , , , , , | پاسخ دهید:

نقص بزرگ امنیتی در اسکایپ کشف شد. در آینده نزدیک هم رفع نمی شود.

آزمایشگاه های امنیتی کوییک هیل اخیراً آسیب پذیری جدی در فایل نصبی به روزرسانی اسکایپ مشاهده کرد- این خبر بدی است. بدتر از همه این است که از آنجا که این به روز رسانی نیاز به “بازنگری عظیم کد” دارد، مایکروسافت این آسیب پذیری را به این زودی رفع نمی کند.

A_massive_security_flaw_discovered_in_Skype-e1518599110104

ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , , , | پاسخ دهید:

اگر از Imgur استفاده می کنید، فوراً رمز خود را تغییر دهید!

imgur_security_breachسایت معروف اشتراک عکس Imgur در وبلاگ رسمی خود درباره یک نقص امنیتی که ۱٫۷ میلیون کاربر را تحت تاثیر قرار داد، اطلاع رسانی کرده است. این نقض در سال ۲۰۱۴ رخ داده است. این شرکت از سوی یک محقق امنیتی بنام Troy Hunt از این موضوع مطلع شده است. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , | پاسخ دهید:

دریافت تاییدیه BEST+++ توسط Seqrite Endpoint Security Enterprise Suite از AVLab در آزمون حفاظت از بدافزار Fileless

AVlab_BestSeqAVLab یک سازمان مستقل است که آزمایشاتی روی نرم افزارهای امنیتی برای شبکه شرکت ها و دستگاه های کاربران خانگی انجام می دهد. این آزمون ها توسط نرم افزارهای مخرب، ابزارها و تکنیک های امنیتی دور زدن که در حملات سایبری واقعی مورد استفاده قرار می گیرند انجام می شود. ادامه‌ی خواندن

ارسال شده در کوییک هیل | برچسب‌شده , , , , , | پاسخ دهید:

برنامه جعلی واتساپ در Google Play-آنالیز توسط آزمایشگاه های امنیتی کوییک هیل

WhatsApp-Fake_appچندین برنامه جعلی واتساپ راه خود را در فروشگاه Google Play پیدا کردند. صفحات این برنامه ها، نام و عنوان توسعه دهنده “WhatsApp Inc.” شبیه به برنامه اصلی WhatsApp است. آزمایشگاه های امنیتی کوییک هیل روی این برنامه ها آنالیز انجام داده و نتایج را در این خبر شرح دادند. ادامه‌ی خواندن

ارسال شده در تهديدات جديد, کوییک هیل | برچسب‌شده , , , , , , , , , , , , , , , , | پاسخ دهید:

هشدار باج افزار اندروید! DoubleLocker پین کد موبایل را تغییر داده و داده ها را رمزگذاری می کند

DoubleLocker_Android_Ransomware

DoubleLocker یک باج افزار اندروید است که پیش از این گزارش نشده است. این بدافزار برای راه اندازی یک حمله
دوجانبه طراحی شده است – تلفن آلوده را قفل کرده و تمام فایل های ذخیره شده در دستگاه را رمزگذاری می کند. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , , , , , , , | پاسخ دهید:

آنالیز بدافزار TrickBot توسط آزمایشگاه امنیتی کوییک هیل

TrickBotMalware_Quick_HealTrickBot بدلیل روش ها و تکنیک های مختلف انتشار چند ریختی اش، بدافزار فعالی در ماه گذشته بوده است. ما نسخه های مشترک و رسانه انتشار مشابهی دیده ایم- ایمیل های اسپم. این ایمیل ها حاوی فایل پیوست و یا یک لینک مستقیم برای دانلود می باشند تا آلودگی را گسترش دهند. ادامه‌ی خواندن

ارسال شده در کوییک هیل | برچسب‌شده , , , , , , , , , , | پاسخ دهید:

تنها حرکت ماوس بر روی یک لینک می تواند کامپیوترتان را آلوده کند

mouseover_malware_quick_healدر نوع جدیدی از حمله، مجرمین سایبری به سادگی کاربران ناآگاه را فریب می دهند تا بر روی لینک حاوی فایل پاورپوینت مخرب کلیک کنند سپس با یک تروجان بانکی کامپیوتر را آلوده می کنند. ادامه‌ی خواندن

ارسال شده در تهديدات جديد | برچسب‌شده , , , , , , , , , , , , , , , , , , , | پاسخ دهید: