باج افزار Sodinokibi از طریق اکسپلویت RIG حمله میکند

باج افزار Sodinokibi از طریق اکسپلویت آلوده ی RIG اقدام به آلوده کردن کاربران میکند.

Ransomware

یک کمپین آلوده در حال کار بر روی وب سایت های بازی با کیفیت پایین و بلاگ های کم کیفیت میباشد و در حال آلوده کردن قربانیان آسیایی به اکسپلویت خطرناک RIG هستند که در این وب سایت ها به کار رفته است. این اکسپلویت خطرناک بدون اطلاع و به آرامی باج افزار Sodinokibi را نصب میکند.

این کمپین آلوده سازی در حال حاضر کاربران اینترنت اکسپلورر در ویتنام، کره، مالزی و احتمالا دیگر کشور های آسیایی را هدف قرار میدهند.

زمان جست و جو در سطح وب، این کمپین آلوده سازی کاربران را به سمتی منتهی میکند که این اکسپلویت RIG سعی در آلوده سازی و ایجاد نقص در مرورگر خواهد داشت. اگر این فرایند موفقیت آمیز باشد. مرورگر مداوم در اجرا به مشکل بر میخورد.

RIG Exploit kit in Internet Explorer

این مسئله بدین دلیل است که این اکسپلویت یک فرمان جاوا اسکریپت را اجرا میکند که یک اسکریپت VBScript را دانلود میکند.

Exploit executing wscript

این اسکریپت سپس شروع به دانلود و نصب باج افزار Sodinokibi میکند، همچنین با نام REvil نیز بر روی سیستم قربانی شناخته خواهد شد. به محض اجرا، این باج افزار شروع به رمزنگاری فایل های قربانی میکند.

Portion of script that installs Sodinokibi

اصولا کاربران زمانی متوجه آلوده شدن سیستم میشوند که امکان دسترسی به فایل ها و اسناد خود را ندارند و تصویر پس زمینه ی دسکتاپ آنان نیز تغییر کرده است و چگونگی ارتباط با باج گیر در آن توضیح داده شده است.

REvil/Sodinokibi  Ransom Note

متاسفانه، هیچ روشی برای رمزگشایی فایل های کد شده توسط این باج افزار در حال حاضر موجود نیست. به کاربران توصیه میشود که فایل های خود را از بکاپ باز گردانند تا اینکه پولی را به آنان پرداخت کنند.

مثل همیشه، جهت محافظت در برابر اکسپلویت ها، کاربران میبایست نسخه ی سیستم عامل ویندوز خود را به روز رسانی کرده باشند. همچنین به روز رسانی نرم افزار ها و مرورگر ها نیز امری ضروری است.

منبع: www.bleepingcomputer.com