باج افزار snatch برخلاف انواع ديگر خود ، فايل هاي موجود در شبکه هاي آلوده را به سرقت مي برد . سازندگان اين باج افزار از ترفندي نوين براي دور زدن آنتي ويروس ها و رمز کردن داده هاي قربانيان بدون شناسايي شدن استفاده مي کنند. اين باج افزار با ريبوت کردن سيستم قرباني، فرآيند رمز کردن داده ها را در حالت safe mode اجرا مي کند. دليل اين امر اين است که اکثر برنامه هاي آنتي ويروس در حالت safe mode ( حالتي از سيستم عامل به منظور خطايابي و بازيابي ويندوز ) اجرا نخواهند شد .
با اين حال، سازندگان snatch کشف کردند که آنها مي توانند از يک کليد رجيستري براي برنامه ريزي يک سرويس ويندوز به منظور شروع در حالت safe mode استفاده کنند که اين سرويس برنامه باج افزار را در حالت safe mode بدون خطر شناسايي توسط آنتي ويروس و توقف فرآيند آن اجرا خواهد کرد .
اما خطرناک ترين قسمت اين حمله اين است که اين باج افزار خودش را به عنوان يک سرويس که حتي در حالت ريبوت safe mode اجرا مي شود تنظيم مي کند و سپس سيستم را ريبوت مي کند، که در نهايت باعث خنثي کردن عمل بسياري از ابزار هاي امنيتي خواهد شد.
اين ترفند توسط تيم متخصص آزمايشگاه Sophos ، که درحال تحقيق بر روي يک باج افزار بودند، شناسايي شد . تيم تحقيقاتي آنها مي گويد اين يک خطر بزرگ است! و به خوبي مي تواند توسط بقيه باج افزار ها هم مورد استفاده قرار گيرد .
اين تيم پيش بيني مي کنند که امکان افزايش شدت اين تهديد بيش از اين ممکن نيست و لازم است که اين اطلاعات را بهعنوان هشداري براي ديگر سازمان هاي امنيتي و همچنين کاربران منتشر کنند .
پرولاين به تمامي سازمان ها و شرکت هاي معتبر پيشنهاد مي کند که با توجه به گسترش روزافزون حملات هکر ها و باج افزار و نتايج مخربي که اين حملات در پي داشته، هر چه بيشتر به امنيت سازمان خود بهپردازند و با استفاده از محصولاتي مانند آنتي ويروس ها، محصولات جلوگيري از نشر اطلاعات و فايروال ها و … هرچه بيشتر به افزايش امنيت سازمان خود بپردازند.
در جهت بهبود امنيت سازمان خود با ما تماس بگيريد .
درباره این سایت