بدافزارها

باج افزار Ghost
۲۷ مرداد ۱۳۹۸

باج افزار Ghost

یکی دیگر از باج افزارهایی که مرکز ماهر در خصوص افزایش فعالیتش به تازگی هشدار داده است باج افزار Ghost است. در اواسط دی ماه ۹۷ نیز این مرکز در خصوص شیوع این باج افزار هشدار داده بود. همچنین مرکز ماهر در طی گزارشی به بررسی فنی این باج افزار پرداخته بود و اعلام کرد در این باج افزار فایل‌های مختلفی تعبیه شده است که پس از اجرا در یک پوشه با نام Ghost در دایرکتوری Roaming ایجاد می‌شوند و بعد از اتمام این فرآیند یک سرویس جدید تحت عنوان GhostService جهت ادامه فعالیت باج افزار ایجاد می‌گردد. با توجه به گسترش فعالیت‌های این باج افزار آرمان داده پویان تصمیم دارد تا در بروزرسانی داشبورد امنیتی خود به بررسی این بدافزار و راهکارهای پیشگیری و مقابله با آن بپردازد. در این داشبورد امنیتی تهدیدات سایبری را در چهار دسته کمپین‌ها، تهدیدات، اکسپلویت کیت‌ها و آسیب پذیری‌ها بررسی کردیم. برای اطلاع از آخرین آسیب‌پذیری‌ها نیز می‌توانید به اخبار آسیب پذیری برنامه‌های متداول و اخبار آسیب پذیری مایکروسافت مراجعه نمایید.

نحوه انتشار

در مورد این باج افزار بایستی به شما بگوییم که متعلق به خوانواده BURAN بوده و مانند بسیاری از باج افزارها از طریق کمپین و عموما از راه هرزنامه منتشر می‌گردد. مهندسی اجتماعی به کار گرفته شد در آن استفاده از نام‌های معتبر در بخش ارسال کننده است نام‌هایی مانند PayPal، FedEx، eBay و Amazon همچنین مهاجمین وب‌سایت‌هایی طراحی کرده‌اند که بسیار شبیه به وب سایت‌های معتبر بوده و  نام‌های دامنه مشابهی داشته و حتی در آنها از گواهی نامه‌های جعلی استفاده شده است. همچنین مهاجمان از انواع فایل‌ها برای انتشار ویروس استفاده کرده‌اند. انواع اسناد آلوده با فرمت‌های مختلف از جمله: فایل‌های متنی، ارائه‌ها و غیره که زمانی که توسط کاربر گشوده می‌شوند یک ماکرو به اجرا درآمده و در نتیجه آن سیستم قربانی آلوده می‌گردد. همچنین این باج افزار توسط برنامه‌های کاربردی نیز می‌تواند منتقل گردد. برای انتشار فایل‌های آلوده علاوه بر هرزنامه روش‌های دیگری نیز مورد استفاده قرار می‌گیرد مانند استفاده از BitTorrent. استفاده از افزونه‌های تقلبی برای مرورگرها نیز از دیگر روش‌های انتقال این بدافزار است.

باج افزار ghost چه کارهایی انجام می‌دهد؟

باج افزار .ghost از خوانواده BURAN بوده و همانند بسیاری از باج افزارهای معمول دیگر از یک سری ماژول استفاده می‌نماید. زمانی که این باج افزار حالا به هر طریقی موفق به آلوده کردن سیستم قربانی می‌گردد شروع به برداشت اطلاعات حساس احراز هویت کرده و در نتیجه به اطلاعات شناسایی قربانی دست یافته و به سیستم آلوده شده یک شناسه اختصاص می‌دهد. همچنین پاک کردن و یا عبور کردن از نرم افزارها و سرویس‌های امنیتی شبکه از دیگر اقدامات این باج افزارهاست. این موارد می‌تواند به صورت خودکار و یا بر اساس تصمیم مهاجمان اعمال شود. این برنامه‌ها شامل ضد ویروس‌ها، دیواره‌های آتش، سیستم‌های تشخیص نفوذ و غیره می‌باشد.

این باج افزار  در دسته بدافزارهای مقاوم نیز به حساب می‌آید. مراحل آلوده سازی این بدافزار از طریق تغییر در registery key آغاز شده و بعد از آن فایل‌های سیستمی آلوده اضافه می‌گردند. Ghost  بعد از طی این مراحل شروع به قفل کردن و encode کردن فایل‌های قربانی می‌نماید. فایل‌های مختلفی را بر روی سیستم قربانی قفل می‌نماید از جمله:

  • تصاویر
  • پایگاه داده‌ها
  • اسناد
  • آرشیوهای زیپ شده
  • موزیک
  • ویدئو

خب بعد از قفل نمودن فایل‌ها نوبت به متن باج خواهی می‌رسد و در آن نحوه پرداخت باج به قربانی توضیح داده می‌شود. وجود فایل‌های زیر پاک کردن این بدافزار را دشوار می‌نماید.

  • GhostService.exe;
  • GhostService.exe.config;
  • GhostService.pdb;
  • GhostService.vshost.exe;
  • GhostHammer.dll;
  • Ghost.bat.

این بدافزار پسوند .ghost را به فایل‌هایی که رمزگذاری می‌نماید اضافه می‌کند و ساختار فایل رمزگذاری شده را به طور کل تغیر می‌دهد. در جدول زیر می‌توانید خصوصیت این بدافزار را مشاهده نمایید:

باج افزار GHOST نام
باج افزار GhostHammer عنوان
.ghost پسوند فایل
۰٫۰۸۱۱۶ یا ۰٫۱۰۶۹۲۹۴۶ بیت کوین میزان باج
بر روی صفحه در پنجره ویندوز نمایش داده می‌شود نحوه نمایش باج
Ghost.exe فایل اصلی باج افزار
GhostService.exe;

GhostService.exe.config;

GhostService.pdb;

GhostService.vshost.exe;

GhostHammer.dll;

Ghost.bat;

.exe

پرونده‌های مرتبط
[email protected] رایانامه
اسپانیایی و یا پرتغالی اصلیت مهاجمین
عموما هرزنامه نحوه انتشار

راهکارهای پیشگیری

در ارتباط با راهکارهای پیشگیری بایستی بگوییم:

  • اگر از ضد ویروس معتبر استفاده نمایید باج افزار Ghost را شناسایی کرده و حذف یا غیر فعال نمایید.
  • ضد ویروسی که استفاده می‌کنید قابلیت دریافت خودکار بروزرسانی‌ها و امضاها را داشته باشد
  • تمامی ماکروها را غیرفعال نمایید به جز آن‌هایی که دیجیتالی امضا شده‌اند.
  • وصله‌های امنیتی را به موقع نصب نمایید.
  • از راهکارهای امنیت رایانامه حتما استفاده نمایید
  • به کاربرانتان تنها در حد نیازشان دسترسی دهید
  • به کاربران سازمانتان روش‌های مهندسی اجتماعی را به خوبی توضیح دهید تا قربانی چنین حملاتی تا حد امکان نشوند

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران با ارائه راهکارهای امنیتی موثر

می‌تواند خدمات ارزشمندی را در راستای ارتقا امنیت سازمان شما ارائه دهد

با ما تماس بگیرید


تازه ترین ها