باج افزار ضد اسرائیلی منتشر شد

مخرب IsraBye یک پاک کننده ی اطلاعات ضد اسرائیلی که در قالب باج افزار منتشر میشود. این مخرب در واقع اقدام به پاکسازی کامل تمامی فایل های سیستم میکند و بر خلاف برچسب باج افزار، هیچگونه فایلی را رمزنگاری نمیکند.

یک مخرب که اقدام به پاکسازی فایل ها میکند. خود را در غالب یک باج افزار ضد اسرائیلی نشان میدهد. این مخرب به نام IsraBye نیز معروف است. با این وجود که صفحه قفل اذعان دارد که امکان بازیابی فایل ها وجود دارد، اما امکان بازگشت فایل ها تقریبا صفر میباشد. همچنین محتویات فایل ها شامل یک پیغام ضد اسرائیلی میباشد.

این بد افزار در ابتدا توسط محقق امنیتی شرکت Avast، ژاکوب کراستک در اواخر ماه ژوئن کشف شد.

IsraBye یک بد افزار ماژولار میباشد

بد افزار پاک کننده ی اطلاعات IsraBye حالتی ماژولار دارد و در قالب افزونه اضافه میشود. این بدین معناست که ماهیت این بد افزار به جای آنکه شامل یک فایل اجرایی شود. ساختار و عملکرد آن بین پنج فایل اجرایی تقسیم شده است. اولین فایل اجرایی launcher و پاک کننده است و نام آن IsraBye.exe میباشد. به محض اجرای Israbye.exe شروع به نابودی و پاک کردن تمامی فایل ها بر روی درایو های مضمون میکند و محتویات آن را با متن زیر جایگزین میکند:

F**k-israel, [username] You Will never Recover your Files Until Israel disepeare

لعنت بر اسرائیل، (نام کاربری) تا زمان نابودی اسرائیل هرگز به فایل هایتان دسترسی نخواهید داشت

زمانی که فایل ها نابود میشوند، در واقع محتویات فایل پاکسازی کامل میشوند نه اینکه رمزنگاری شوند. زمانی که IsraBye.exe پاکسازی فایل ها را به اتمام میرساند. چهار فایل به نام های Cry.exe ، Cur.exe ، Lock.exe و Index.exe را پیاده میکند و آنان را اجرا میکند. هرکدام از این فایل ها عملکرد متفاوتی را از خود بروز میدهند. که پایین تر توضیح داده شده است.

فایل اجرایی Cry.exe تصویر صفحه ی دسکتاپ را به عکسی که محتویات آن ضد اسرائیلی میباشد تغییر میدهد.


فایل اجرایی Cur.exe منجر به ایجاد تصویری میشود که متنی با عنوان End of Israel (پایان اسرائیل) نمایان میشود. جهت موس به هر طرف برود این متن با جهت موس همراه است.

 

فایل اجرایی Lock.exe سه عملکرد را پشتیبانی میکند. اول به دنبال پروسه های procexp64, ProcessHacker, taskmgr, procexp, xns5 میگردد و به پردازش آنان پایان میدهد. سپس، اقدام به راه اندازی فایل اجرایی Index.exe میکند و در آخر یک نسخه از فایل کامل IsraBye.exe را به حافظه ی روت هرگونه دستگاه متصل به سیستم کپی میکند. این فایل با نام ClickMe.exe در دیگر دستگاه ها کلون میشود تا اقدام به انتشار بد افزار کند. همچنین نکته ای جالب این است که اگر شما یک فایل به نام ClickMe.exe در آدرس %Temp% folder بسازید، مخرب اصلی IsraBye شروع به کرش شدن میکند.

سرانجام، فایل اجرایی Index.exe صفحه ی قفل صفحه را نمایش میدهد و یک فایل wav را باز میکند و منجر به اجرای یک آهنگ میشود به زبان عربی میشود.

اگر چه این بد افزار اذعان دارد که امکان بازگشت فایل ها ممکن است اما متاسفانه تنها راه بازگشت فایل ها از طریق بکاپ یا به کارگیری نرم افزار ریکاوری فایل میباشد.

منبع: www.bleepingcomputer.com