باج افزار جدیدی به نام FuxSocy منتشر شده است که بسیاری از ویژگیهای باج افزار بدنام Cerber را جعل کرده است

باج افزار جدیدی به نام FuxSocy منتشر شده است که بسیاری از ویژگیهای باج افزار بدنام Cerber را جعل کرده است

بر اساس کشفیات تیم MalwareHunter، این باج افزار خود را FuxSocy Encryptor نامیده است، که نام گروه هک FSociety در سریال تلویزیونی Mr.Robot می باشد.

باج افزار جدیدی به نام FuxSocy کشف شده است که بخش عظیمی از رفتار خود را از باج افزار بدنام و مشهور Cerber قرض گرفته است.

FuxSocy مانند هر باج افزار دیگر، فایل های قربانی را رمزنگاری می کند و سپس درخواست باج به منظور دادن کلید رمزگشا می کند.

نکته جالب در مورد این باج افزار این است که توسعه دهندگان تصمیم گرفتند تا از ظاهر و همینطور برخی از موارد داخلی باج افزار Cerber استفاده کنند.

شباهتهایی به Cerber

هنگامیکه این باج افزار توسط مهندس معکوس Vitali Kremez مورد تجزیه و تحلیل قرار گرفت، این محقق به BleepingComputer گفت که متوجه شده است که برخی از قسمت های داخلی باج افزار مشابه موارد استفاده شده در باج افزار Cerber می باشد.

به عنوان مثال هنگام رمزنگاری فایل ها، FuxSocy از فایل هایی که مسیری شامل رشته های خاص دارند، چشم پوشی می کند. بسیاری از رشته ها مستقیماً از باج افزار Cerber گرفته شده اند که از همان لیست استثناء Cerber استفاده میکند و برخی موارد دیگر که برای خود باج افزار FuxSocy می باشد.

لیست کامل فولدرهای bypass شده در زیر آمده است:

 

*:\$getcurrent\*
*:\$recycle.bin\*
*:\$windows.~bt\*
*:\$windows.~ws\*
*:\boot\*
*:\documents and settings\all users\*
*:\documents and settings\default user\*
*:\documents and settings\localservice\*
*:\documents and settings\networkservice\*
*:\intel\*
*:\msocache\*
*:\perflogs\*
*:\program files (x86)\*
*:\program files\*
*:\programdata\*
*:\recovery\*
*:\recycled\*
*:\recycler\*
*:\system volume information\*
*:\temp\*
*:\tmp\*
*:\windows.old\*
*:\windows10upgrade\*
*:\windows\*
*:\winnt\*
*:\.*\*
*\appdata\local\*
*\appdata\locallow\*
*\appdata\roaming\*
*\local settings\*
*\public\music\sample music\*
*\public\pictures\sample pictures\*
*\public\videos\sample videos\*
*\tor browser\*
.txt
.jpg
bitcoin
excel
microsoft sql server
microsoft\excel
microsoft\microsoft sql server
microsoft\office
microsoft\onenote
microsoft\outlook
microsoft\powerpoint
microsoft\word
office
onenote
outlook
powerpoint
steam
the bat!
thunderbird
word
autodesk
solidworks*
OpenSCAD
 

علاوه بر این،  FuxSocyهمچنین نام فایل و پسوندهای استفاده شده توسط فایل های رمزنگاری شده را به روشی مشابه Cerber تغییر می دهد.

فایل های رمزنگاری شده توسط FuxSocy

سرانجام، پس از رمزگذاری رایانه، پس زمینه دسکتاپ ویندوز به یک پس زمینه تقریباً یکسان با باج افزار Cerber تغییر می کند.

پس زمینه FuxSocy

پس چه چیزی تغییر کرده است؟

در حالی که از نظر ظاهری FuxSocy بسیار شبیه به Cerber است ، تفاوت های کاملاً مشخصی نیز وجود دارد.

به عنوان مثال، FuxSocy تلاش می کند تا از اجرای باج افزار توسط کاربران بر روی یک ماشین مجازی توسط جستجوی فرآیندها و فایل های زیر جلوگیری کند:

 

prl_cc.exe
prl_tools.exe
vboxservice.exe
vboxtray.exe
VMSrvc.exe
VMUSrvc.exe
vmtoolsd.exe
vmwaretray.exe
vmwareuser.exe
VGAuthService.exe
vmacthlp.exe
xenservice.exe
qemu-ga.exe
\\.\VBoxMiniRdrDN
\\.\VBoxGuest
\\.\pipe\VBoxMiniRdDN
\\.\VBoxTrayIPC
\\.\pipe\VBoxTrayIPC
\\.\HGFS
\\.\vmci
system32\drivers\VBoxMouse.sys
system32\drivers\VBoxGuest.sys
system32\drivers\VBoxSF.sys
system32\drivers\VBoxVideo.sys
system32\vboxdisp.dll
system32\vboxhook.dll
system32\vboxmrxnp.dll
system32\vboxogl.dll
system32\vboxoglarrayspu.dll
system32\vboxoglcrutil.dll
system32\vboxoglerrorspu.dll
system32\vboxoglfeedbackspu.dll
system32\vboxoglpackspu.dll
system32\vboxoglpassthroughspu.dll
system32\vboxservice.exe
system32\vboxtray.exe
system32\VBoxControl.exe
system32\drivers\vmmouse.sys
system32\drivers\vmhgfs.sys
system32\drivers\vm3dmp.sys
system32\drivers\vmci.sys
system32\drivers\vmmemctl.sys
system32\drivers\vmrawdsk.sys
system32\drivers\vmusbmouse.sys
 

یکی دیگر از ویژگیهای عجیب این باج افزار این است که FuxSocy Encryptor کل فایلها را رمزنگاری نمی کند.

طبق گفته Michael Gillespie، این باج افزار رمزنگاری فایلها را با 0x708 بایت آغاز می کند که بیشتر آنها اسناد را غیرقابل استفاده می کنند.

قسمتی از تصویر رمزنگاری شده

برخی از فایل های تصویری، قسمتهای غیر رمز خود را قابل مشاهده خواهند داشت ولی بقیه آن تصویر خراب شده است.

فایل تصویری خراب شده

و سرانجام فایل باج نیز متفاوت است، زیرا Cerber از سایت پرداخت Tor استفاده می کند ، در حالی که FuxSocy از شما می خواهد تا از طریق برنامه پیام رسانی ToxChat با آنها تماس بگیرید.

متن باج خواهی FuxSociety

با آنکه این شباهت ها و تفاوت ها جالب هستند، در نهایت هر دو آلودگی باج افزار یک کار را انجام می دهند. آنها داده های شما را رمزنگاری می کنند و وادار می کنند شما را تا برای برگرداندن فایل هایتان مبلغ باج را بپردازید.

متاسفانه، تا این زمان تحقیقات اولیه درباره این باج افزار نشان می دهد که امکان رمزگشایی این باج افزار به صورت رایگان وجود ندارند. توصیه می شود که قربانیان به جای پرداختن باج، بکاپ های خود را بازیابی کنند.

پیشگیری و محافظت

برای محافظت در برابر باج افزار FuxSocy یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید. این بک آپ باید به صورت آفلاین ذخیره شود و برای باج افزار قابل دسترس نباشد.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • - بکاپ، بکاپ، بکاپ
     
  • - فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید. همانطور که اکثر باج افزاران توسط اسپم گسترش می یابند، مهم است که تمام کاربران در مورد نحوه شناسایی اسپم های مخرب آموزش ببینند و هیچ فایل ضمیمه ای را بدون اینکه مطمئن شوند که چه کسی و چرا آن را فرستاده باز نکنند. علاوه بر این، اگر هر فایل ضمیمه ای از شما بخواهد که برای دیدن محتوا، ماکرو یا محتوایی را فعال کنید بلافاصله آن را ببندید و آن را در VirusTotal اسکن کنید و یا آن را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • - از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
  •  
  • - از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • - از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • - اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و آن را در پشت فایروال قرار دهید و تنها از vpn استفاده کنید.

منبع: Bleepingcomputer.com