کشف باج افزاری که سازمان های خدمات درمانی را هدف قرار می دهد - مجله بای بلاگ

تمامی گونه های قبلی باج افزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار می داد. در حالیکه این باج افزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد، فعالیت خود را متوقف می نماید؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پرده حملات قبلی بودند نیست.

باج افزار Zeppelin یک باج افزار مبتنی بر زبان Delphi و کاملا تنظیم پذیر است؛ به صورتی که با توجه به احتیاج مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگی های متعددی را فراهم می نماید.

Zeppelin با ویژگی های زیر می تواند در فایل های DLL یا EXE قرار گرفته و یا در loader های powershell پنهان گردد:

- ردیابی آدرس های IP و موقعیت مکانی قربانیان (IP Logger)

- حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)

- حذف کپی و پشتیبان های فایل ها، غیرفعالسازی بازیابی اطلاعات و غیره

- امکان توقف task های داخواه مهاجم (Task-Killer)

- قفل کردن فایل ها در فرآیند رمزنگاری (قفل سازی اتوماتیک)

- کوشش برای اجرای باج افزار با سطح دسترسی بالا (UAC prompt)

این باج افزار تعداد تمامی فایل های موجود در همه درایورها و شبکه را محاسبه نموده و با الگوریتم استفاده شده در دیگر گونه های مشابه Vega، رمز می نماید.

همچنین برای پنهان ماندن، از لایه های متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشته های رمز شده، استفاده از کدها با طول های گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسم های بازگشتی استفاده می نماید.

باج افزار Zeppline برای اولین بار یک ماه پیش کشف شد و این در حالی است که به گفته محققان امنیتی حدود 30 درصد آنتی ویروس ها قادر به شناسایی این باج افزار نیستند.

adeliasafar.com: سفرهای ادلیا: ارزانترین تورهای مسافرتی اروپایی، آسیایی و کانادا را از ما بخواهید.

dorezamin.com: دور زمین: سفر به دور زمین هیچوقت اینقدر آسون نبوده!