باج افزار Clop برنامه ها و ابزارهای جانبی ویندوز 10 را حذف می کند

باج افزار Clop برنامه ها و ابزارهای جانبی ویندوز 10 را حذف می کند

باج افزار Clop با یک process killer جدید و یکپارچه ادغام شده است که برخی از فرآیندهای جالب متعلق به برنامه های ویندوز 10، ویرایشگر متن، زبان های برنامه نویسی، IDE ها و برنامه های آفیس را هدف قرار می دهد.

هنگامیکه باج افزار Clop در فوریه 2019 آغاز به کار کرد، نوع رایجی از نسخه باج افزار CryptoMix بود با همان ویژگی هایی است که از سال 2017 در این خانواده مشاهده کرده ایم.

در مارس 2019، باج افزار Clop به طور ناگهانی تغییر کرد و شروع به غیر فعال کردن سرویس های Microsoft Exchange، Microsoft SQL Server، MySQL، BackupExec و دیگر برنامه های سازمانی کرد. یادداشت باج خواهی نیز تغییر کرد تا نشان دهد که مهاجمان به جای رایانه شخصی کل شبکه را هدف قرار دادند.

یادداشت باج خواهی

در آن زمان مشخص شد که یک گروه مهاجم معروف به TA505 نام باج افزار Clop را از آخرین بارگذاری خودشان که باعث در معرض خطر قرار گرفتن یک شبکه شد اقتباس گرفتند که نحوه استفاده آن مانند Ryuk، BitPaymer و DoppelPaymer می باشد.

این اقتباس به احتمال زیاد باعث افزایش توسعه باج افزار شده است، زیرا مهاجمان آن را هنگام انجام رمزگذاری گسترده در شبکه متناسب با نیازهای خود تغییر دادند.

توسعه در نوامبر 2019 ادامه داشت هنگامیکه نسخه جدیدی منتشر شد که سعی در غیرفعال کردن Windows Defender در حال اجرا بر روی رایانه های لوکال داشت تا با بروزرسانی signature آن شناسایی نشود.

این تغییرات همچنین همزمان با ادامه هدف قرار دادن شرکت ها در هلند و فرانسه بود.

در ماه گذشته، دانشگاه Maastricht هلند به باج افزار Clop آلوده شد.

Clop اکنون 663 فرآیند را از کار می اندازد

در اواخر سال 2019 یک نسخه جدید از Clop توسط MalwareHunterTeam کشف شد و توسط Vitali Kremez مهندسی معکوس گردید که ویژگی از کار انداختن فرآیند را بهبود بخشید. Clop اکنون 663 فرآیند ویندوز را قبل از رمزنگاری فایل ها از کار می اندازد.

معمول نیست که باج افزارها قبل از رمزنگاری فایل ها، فرآیندها را از کار بندازند زیرا مهاجمان می خواهند نرم افزار امنیتی را غیرفعال کنند و نمی خواهند هیچ فایلی باز باشد زیرا این امر می تواند مانع رمزگذاری آنها شود.

این نسخه جدید با از کار انداختن 663 فرآیند، که شامل برنامه های جدید ویندوز 10 ، ویرایشگرهای متن محبوب ، debuggers ها ، زبان های برنامه نویسی ، برنامه های ترمینال و برنامه نویسی نرم افزار IDE است ، یک قدم جلوتر می باشد.

برخی از فرایندهای جالب توجه که از کار می اندازد عبارتند از: Android Debug Bridge ، Notepad ++ ، Everything، Tomcat، SnagIt، Bash، Visual Studio، برنامه های Microsoft Office ، زبان های برنامه نویسی مانند Python و Ruby ، برنامه ترمینال SecureCRT ، ماشین حساب ویندوز و حتی برنامه جدید Windows 10 Your Phone.                                        

مشخص نیست که چرا برخی از این فرآیندها از کار می افتند، به ویژه بعضی از آنها مانند Calculator, Snagit, and SecureCRT اما ممکن است که آنها بخواهند برخی از فایل های پیکربندی که این ابزارها استفاده می کنند را رمزگذاری کنند.

لیست کاملی از این فرآیندهای از کار افتاده را می توانید در اینجا ببینید.

در گذشته، عمل از کار انداختن فرآیند توسط یک بچ فایل ویندوزی انجام میشد. تعبیه این قابلیت در فایل اجرایی اصلی نشان دهنده فعالیت این گروه برای توسعه این باج افزار می باشد.

Kremez در گفتگو با BleepingComputer گفت: این تغییر نشان می دهد که گروه باج افزار تصمیم گرفتند که process killer را در bot اصلی قرار دهند و آن را به رویکرد جهانی تبدیل کنند.

علاوه بر لیست جدید و بزرگ فرآیندهای هدف قرار داده شده این نسخه باج افزار Clop از پسوند جدید Cl0p استفاده می کند به جای پسوند Clop که در نسخه های قبلی استفاده می گردید.

از آنجا که Clop به آلوده کردن سازمان ها ادامه می دهد و باج های زیادی را برای اینکار می گیرد می توان انتظار داشت که مهاجمان تاکتیک های خود را توسعه دهند.

 

منبع: BleepingComputer.com