راه‌اندازی مجدد کامپیوتر در حالت امن توسط باج‌افزار Snatch برای دور زدن برنامه‌های آنتی‌ویروس

یافته‌های جدید محققان امنیتی آزمایشگاه سوفوس نشان می‌دهد که سازندگان باج‌افزار Snatch در حال استفاده از تکنیک جدیدی هستند تا بدون شناسایی شدن از سوی نرم‌‌افزار‌های آنتی‌ویروس، فایل‌های قربانیان را رمزگذاری کنند.

بنا بر گزارش‌های منتشر شده، سازندگان باج‌افزار Snatch در حال استفاده از تکنیک جدیدی هستند تا بدون شناسایی شدن از سوی نرم‌‌افزار‌های آنتی‌ویروس، فایل‌های قربانیان را رمزگذاری کنند. در این شیوه مهاجمان ابتدا کامپیوتر را در حالت امن مجددا راه‌اندازی کرده و سپس فرآیند رمزگذاری فایل‌ها را آغاز می‌کنند که دلیل استفاده از این شیوه آن است که اکثر نرم‌افزار‌های آنتی‌ویروس در حالت امن ویندوز که حالتی برای اشکال زدایی و بازیابی یک سیستم‌عامل خراب است فعالیت نمی‌کنند.

با این حال نویسندگان باج‌افزار Snatch دریافتند که می‌توانند از یک رمز تایید ویندوز برای برنامه‌ریزی یک سرویس ویندوز و آغاز ویندوز در حالت امن برنامه ریزی کنند. این سرویس می‌تواند باج‌افزار را بدون خطر شناسایی شدن توسط نرم‌افزار‌های آنتی ویروس در حالت امن اجرا کرده و فایل‌ها را رمزگذاری کند.

این تکنیک که برای اولین‌بار توسط تیم تحقیقاتی آزمایشگاه امنیتی سوفوس شناسایی شده است، مسئله‌‌ای بسیار مهم بوده و ممکن است توسط دیگر باج‌افزار‌ها نیز مورد استفاده قرار بگیرد. محققان اظهار کرده‌اند که باج‌افزار Snatch از تابستان سال ۲۰۱۸ در حال فعالیت است، اما افراد زیادی آن را نمی‌شناسند.

شناسایی نشدن این باج‌افزار به این خاطر است که سازندگان آن هیچ‌گاه کاربران خانگی را هدف قرار نداده‌اند. گفته می‌شود که سازندگان این باج‌‌افزار تاکنون از روش‌های توزیع انبوه مانند کمپین‌های هرزنامه یا کیت‌های اکسپلویت مبتنی بر مرورگر که توجه زیادی را به خود جلب می‌کنند استفاده نکرده است؛ اما در عوض این باج‌افزار به سراغ فهرست برنامه‌ریزی شده خود که تنها شرکت‌ها و سازمان‌های دولتی یا عمومی در آن قرار داشته رفته است.

با وجود اینکه گروه‌های باج‌افزاری معمولا روی رمزگذاری فایل‌ها و دریافت باج تمرکز دارند، تیم امنیتی سوفوس شواهدی مبنی بر سرقت اطلاعات کاربران توسط این باج‌افزار کشف کرده است. این یعنی حتی اگر شرکتی باج درخواستی را پرداخت کرده و فایل‌های خود را بازیابی کند، باز هم اطلاعات مهمی از شرکت‌ها در اختیار مهاجمان باقی خواهد ماند. این نوع از عملکرد، کاملا غیر‌معمول بوده و باج‌افزار Snatch را در صدر جدول باج‌افزارهای خطرناک قرار می‌دهد.

شرکت کاورویو که متخصص در امور مذاکرات اخاذی بین مهاجمان و قربانیان باج‌افزاری است، اظهار کرده که از ماه ژوئیه تا اکتبر ۲۰۱۹، به تعداد ۱۲ بار و مبالغی بین  ۲ تا ۳۵ هزار دلار را از طرف قربانیان به مهاجمان پرداخت کرده است.

تیم سوفوس پیشنهاد کرده است که شرکت‌ها خروجی‌ها و سرویس‌هایی که در معرض اینترنت قرار دارند را با گذرواژه‌های پیچیده و طولانی یا احراز هویت دو مرحله‌ای ایمن‌سازی کنند.

 

 

توضیحات بیشتر در:

Snatch ransomware reboots PCs in Windows Safe Mode to bypass antivirus apps