به گزارش خبرگزاری مهر به نقل از مرکز ماهر، اخیرا گونه جدیدی از باجافزار های خانواده Vega موسوم به Zeppelin ، سازمانهای فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است.
تمامی گونههای قبلی باجافزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار میداد. در حالیکه این باجافزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد، فعالیت خود را متوقف میکند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پرده حملات قبلی بودند نیست.
باجافزار Zeppelin یک باجافزار مبتنی بر زبان Delphi و کاملا تنظیمپذیر است؛ به صورتیکه با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگیهای متعددی را فراهم میکند.
Zeppelin با ویژگیهای زیر میتواند در فایلهای DLL یا EXE قرار گرفته و یا در loader های powershell پنهان شود:
- ردیابی آدرسهای IP و موقعیت مکانی قربانیان (IP Logger)
- حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)
- حذف کپی و پشتیبانهای فایلها، غیرفعالسازی بازیابی اطلاعات و غیره
- امکان توقف taskهای داخواه مهاجم (Task-Killer)
- قفل کردن فایلها در فرآیند رمزنگاری (قفلسازی خودکار)
- تلاش برای اجرای باجافزار با سطح دسترسی بالا (UAC prompt)
این باج افزار تعداد تمامی فایلهای موجود در همه درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونههای مشابه Vega، رمز میکند.
همچنین برای پنهان ماندن، از لایههای متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشتههای رمز شده، استفاده از کدها با طولهای گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسمهای بازگشتی استفاده میکند.
باج افزار Zeppline برای اولین بار یک ماه پیش کشف شد و این در حالی است که به گفته محققان امنیتی حدود ۳۰ درصد آنتی ویروسها قادر به شناسایی این باجافزار نیستند.
نظر شما