اخبار بخش هک و نفوذ

اخبار بخش امنیت

آمار سایت

  • افراد آنلاین :
    1
  • بازدید روز :
    0
  • تعداد بازدید ها :
    0
  • تعداد پست ها :
    133
  • IP شما :
    3.230.119.106
  • net1
  • net3
1 2 3
image carousel by WOWSlider.com v6.7
باج افزار REvil ورژن 2.2 فایل های باز و حتی قفل شده را رمزگذاری می کند
یکشنبه ۱ تیر ۱۳۹۹
۱۰:۱۴:۵
نظر
(
0
)

باج افزار REvil که با نام Sodinokibi نیز شناخته میشود در اواخر آوریل سال 2019 توسط محققان امنیتی شناسایی شد. این باج افزار بخشی از سرویس (Ransomware-as-a-Service (RaaS (باج افزار به عنوان سرویس) است که در آن مجموعه ای از افراد کد اصلی را نگهداری می کنند و سایر گروه های وابسته به آنها این باج افزار را توزیع می کنند.

یک باج افزار دیگر به نام GandCrab وجود دارد و محققان امنیتی معتقدند شباهت های زیادی به باج افزارهای REvil دارد که از زمان ظهور Revvil، فعالیت GandCrab کاهش یافته و کدهای آن به اشتراک گذاشته می شوند.

نسخه جدید این باج افزار از API مدیریت ریستارت ویندوز استفاده می کند تا پروسه کاری خود را وارد فرآیند کاری ویندوز کند و در مرحله بعدی فایل مورد نظر برای رمزگذاری را اجرا کند. استفاده از Windows Restart Manager  به این دلیل است که اگر فایل مورد نظر توسط یک فرآیند خاصی اجرا شود، فرآیند های دیگر در آن فایل توسط سیستم ویندوز terminate می شود.

محققان Intel471 متوجه شده اند که تکنیک کاری Sodinokibi یا همان REvil  استفاده از Windows Restart Manager است که توسط سایر باج افزارها مانند SamSam و LockerGoga نیز استفاده می شود .

“باج افزار REvil برای عملیات رمزگذاری (بدون اشتراک گذاری) فایل های خود را اجرا می کند (dwShareMode برابر با 0). در نتیجه، هر زمانی که هنگام باز کردن یک فایل نقض اشتراکی وجود داشته باشد، Restart Manager جهت راه اندازی مجدد فراخوانی می شود. ”

اخبارسایبری

محقق امنیتی “Vitali Kremez” خاطرنشان کرد که REvil Decryptor v2.2 از API مدیریت ریستارت ویندوز برای اهرم کردن پروسه های رمزگشایی استفاده می کند.

2020-05-08: #REvil #Ransomware Decrypter v2.2
Added Process & Service Killer |

Restart Manager Processor via Rstrtmgr.dll
*RmGetList
*RmRegisterResources

h/t @malwrhunterteam pic.twitter.com/2UGb8iVaYa

— Vitali Kremez (@VK_Intel) May 8, 2020

 

با قابلیت های جدیدی که به باج افزار REvil اضافه شده، می تواند برخی از فایل های بسیار مهم را رمزگذاری کند.

منبع
irancyber

دیدگاه ها

.هیچ دیدگاهی یافت نشد
شما هم می توانید درمورد این پست نظر دهید.

Security & privacy

Security Monitoring

Application Security

Database Security

Top