فيروس جديد يقرر إذا كان جهاز الكمبيوتر الخاص بك جيد للتعدين أو للفدية

اكتشف الباحثون الأمنيون قطعة مثيرة من البرامج الضارة التي تصيب الأنظمة باستخدام إما عامل التعدين أو أداة الفدية ، اعتمادًا على تكويناتها...

اكتشف الباحثون الأمنيون قطعة مثيرة من البرامج الضارة التي تصيب الأنظمة باستخدام إما عامل التعدين أو أداة الفدية ، اعتمادًا على تكويناتها لتحديد أي من المخططين يمكن أن يكون أكثر ربحية.
في حين أن رانسومواري هو نوع من البرمجيات الخبيثة التي تقوم بإقفال جهاز الكمبيوتر الخاص بك وتمنعك من الوصول إلى البيانات المشفرة حتى تدفع فدية للحصول على مفتاح فك التشفير المطلوب لفك تشفير الملفات ، فإن عمال التعدين باستخدام العملات المعدلة يستخدمون طاقة وحدة المعالجة الخاصة لتعدين العملات الرقمية.
لقد كانت كل من هجمات الفدية والهجمات التي تعتمد على التعدين هي التهديدات الرئيسية حتى الآن هذا العام وتتشارك في العديد من أوجه التشابه ، مثل كلاهما هجمات غير متطورة ، تم تنفيذها مقابل المال ضد المستخدمين غير المستهدفين ، مع إشراك العملة الرقمية في المسألة , و مع ذلك ، بما أن قفل جهاز كمبيوتر للحصول على فدية لا يضمن دائما رد فعل في حال لم يكن لدى الضحايا أي شيء ضروري للخسارة ، فقد تحوّل المجرمون الإلكترونيون في الأشهر الماضية أكثر نحو التعدين المخفي للعملات كطريقة لاستخراج المال باستخدام أجهزة الكمبيوتر الخاصة بالضحايا.
اكتشف باحثون في شركة الحماية الروسية كاسبرسكي Labs نسخة جديدة من عائلة راخني رانسومواري ، والتي تمت ترقيتها الآن لتشمل إمكانات التعدين cryptocurrency أيضًا.

يتم نشر البرمجيات الخبيثة راخني المكتوبة بلغة البرمجة Delphi باستخدام رسائل البريد الإلكتروني مع ملف كلمة MS في المرفق ، والذي إذا فتح ، يطالب الضحية بحفظ المستند وتمكين التحرير.
يحتوي المستند على رمز PDF ، والذي إذا تم النقر عليه ، يتم تشغيل ملف ضار قابل للتنفيذ على كمبيوتر الضحية ويعرض على الفور مربع رسالة خطأ مزيفًا عند التنفيذ ، ويخدع الضحايا بالتفكير في أن ملف النظام المطلوب لفتح المستند مفقود.

كيف تقرر البرامج الضارة ما يجب فعله؟

تقوم البرامج الضارة في الخلفية بعد ذلك بإجراء العديد من فحوصات مكافحة VM و anti-sandbox لتحديد ما إذا كان يمكن أن تصيب النظام دون أن يتم الكشف عنها و إذا تم استيفاء جميع الشروط تقوم البرامج الضارة بعد ذلك بإجراء المزيد من الاختبارات لتحديد الحمولة النهائية للعدوى أي الفدية أو عامل التعدين.

1.) يثبت Ransomware إذا كان النظام المستهدف يحتوي على مجلد "Bitcoin" في قسم AppData.

قبل تشفير الملفات باستخدام خوارزمية التشفير RSA-1024 ، تنهي البرامج الضارة جميع العمليات التي تطابق قائمة محددة مسبقًا للتطبيقات الشائعة ثم تعرض ملاحظة الفدية عبر ملف نصي.

2.) يقوم بتثبيت عامل التعدين من cryptocurrency - إذا كان المجلد "Bitcoin" غير موجود ويحتوي الجهاز على أكثر من معالجين منطقيين.

إذا كان النظام يصاب مع عامل التعدين cryptocurrency ، فإنه يستخدم الأداة MinerGate في الخلفية. 

إلى جانب ذلك ، تستخدم البرمجيات الخبيثة أداة CertMgr.exe لتثبيت شهادات الجذر المزورة التي تدعي أنها صدرت من قبل شركة Microsoft و Adobe Systems Incorporated في محاولة لإخفاء عامل التعدين كعملية موثوق بها.

3.) تنشيط مكون worm : وذلك  إذا لم يكن هناك مجلد "Bitcoin" وتوفر معالج منطقي واحد فقط.

يساعد هذا المكون البرامج الضارة على نسخ نفسها إلى جميع أجهزة الكمبيوتر الموجودة في الشبكة المحلية باستخدام الموارد المشتركة.

"بالنسبة إلى كل جهاز كمبيوتر مدرج في الملف ، يتحقق Trojan إذا كان المجلد مشتركًا مع المستخدمين ، وإذا كان الأمر كذلك ، فإن البرامج الضارة تنسخ نفسها إلى المجلد \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup لكل مستخدم يمكن الوصول إليه".

بغض النظر عن اختيار العدوى ، يقوم البرنامج الضار بإجراء فحص إذا تم إطلاق أحد عمليات مكافحة الفيروسات المدرجة و إذا لم يتم العثور على عملية AV في النظام ، فستقوم البرامج الضارة بتشغيل أوامر cmd متعددة في محاولة لتعطيل Windows Defender.