فناوری اطلاعات

‫ باج‌افزار جدیدی به نام ZEPPELIN از خانواده Vega

اخیرا گونه‌ای جدیدی از باج‌افزار های خانواده Vega موسوم به Zeppelin سازمان‌های فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است.

به گزارش البرز فاوا نیوز به نقل از ماهر؛ تمامی گونه‌های قبلی باج‌افزار Vega موسوم به (VegaLocker) کاربران روسیه را هدف قرار می‌داد درحالیکه این باج‌افزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد فعالیت خود را متوقف می‌کند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پرده‌ی حملات قبلی بودند نیست.

به گزارش BlackBerry Cylance باج‌افزار Zeppelin یک باج‌افزار مبتنی بر زبان Delphi و کاملا تنظیم‌پذیر است؛ بصورتی‌که با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگی‌های متعددی را فراهم می‌کند.

Zeppelin با ویژگی‌های زیر می‌تواند در فایل‌های DLL یا EXE قرار گرفته و یا در loaderهای powershell پنهان شود:

ردیابی آدرس‌های IP و موقعیت مکانی قربانیان (IP Logger)

حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)

حذف کپی و پشتیبان‌های فایل‌ها، غیرفعالسازی بازیابی اطلاعات و غیره

امکان توقف task‌های داخواه مهاجم (Task-Killer)

قفل کردن فایل‌ها در فرآیند رمزنگاری (قفل‌سازی خودکار)

تلاش برای اجرای باج‌افزار با سطح دسترسی بالا (UAC prompt)

این باج افزار تعداد تمامی فایل‌های موجود در همه‌ی درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونه‌های مشابه Vega، رمز می‌کند. همچنین برای پنهان ماندن ، از لایه‌های متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشته‌های رمز شده، استفاده از کدها با طول‌های گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسم‌های بازگشتی استفاده می‌کند.

باج افزار Zeppline برای اولین بار یک ماه پیش زمانی که بین تعدادی وب‌سایت توسط payloadهای powershell توزیع شده بود، کشف شد و این در حالی‌ست که به گفته‌ی محققان امنیتی حدود 30 درصد آنتی ویروس‌ها قادر به شناسایی این باج‌افزار نیستند.

Related Articles

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Back to top button