چاپ        ارسال به دوست

بررسی و تحلیل باج افزار نوشته شده با #C و با قابلیت کامپایل در زمان اجرا

به تازگی گونه ای از باج_افزار با نام فایل smsss.exe که نام مشخصی برای آن در نظر گرفته نشده است، توسط تیم های تحقیقاتی کشف شده است. این باج ­افزار به زبان سی­ شارپ و تحت پلتفرم دات­ نت توسعه داده شده است و از جهت نحوه دور زدن آنتی­ ویروس­ها یکی از جالب­ترین و بروزترین باج ­افزارهاست که از امکانات بی­ نظیر ماشین مجازی دات­ نت برای این کار استفاده کرده است. این باج ­افزار کد مخرب خود را به صورت کد سی شارپ توسعه الگوریتم متقارن AES رمزنگاری کرده و به صورت رشته ­های هگزادسیمال درون فایل اصلی جای داده است. سپس با کمک کامپایلر سی ­شارپ که در زمان اجرا قابل دسترسی است، کد را کامپایل کرده و تابع اصلی کد مخرب را فراخوانی می­کند. سپس کد مخرب اقدام به رمزنگاری فایل­ها توسط الگوریتم متقارن AES می­کند. این روش باعث شده تا تحلیل و ردیابی آن برای آنتی ­ویروس­ها و تیم­ های تحقیقاتی سخت­ تر شود. نکته جالب توجه آن است که باج ­افزار کلید رمزنگاری را درون یک فایل ذخیره می­کند و کاربر می‌تواند با دانستن نحوه کار الگوریتم، فایل­ها را رمزگشایی کند. احتمالا این قضیه نشان می­دهد این باج ­افزار هنوز در مرحله توسعه قرار دارد.

دریافت کامل گزارش تحلیلی

منبع: https://www.certcc.ir/news/12411


 دسته‌ها:  گزارشات تحلیلی


١٢:٠٠ - يکشنبه ٣ تير ١٣٩٧    /    شماره : ١٧٤٦٠    /    تعداد نمایش : ٩٢٨



خروج