بررسی و تحلیل باج‌افزار نوشته شده با #C و با قابلیت کامپایل در زمان اجرا (smssss.exe)

بررسی و تحلیل باج‌افزار نوشته شده با #C و با قابلیت کامپایل در زمان اجرا (smssss.exe)

تاریخ ایجاد

به تازگی گونه ای از #‫باج_افزار با نام فایل smsss.exe که نام مشخصی برای آن در نظر گرفته نشده است، توسط تیم های تحقیقاتی کشف شده است. این باج ­افزار به زبان سی­ شارپ و تحت پلتفرم دات­ نت توسعه داده شده است و از جهت نحوه دور زدن آنتی­ ویروس­ها یکی از جالب­ترین و بروزترین باج ­افزارهاست که از امکانات بی­ نظیر ماشین مجازی دات­ نت برای این کار استفاده کرده است. این باج ­افزار کد مخرب خود را به صورت کد سی شارپ توسعه الگوریتم متقارن AES رمزنگاری کرده و به صورت رشته ­های هگزادسیمال درون فایل اصلی جای داده است. سپس با کمک کامپایلر سی ­شارپ که در زمان اجرا قابل دسترسی است، کد را کامپایل کرده و تابع اصلی کد مخرب را فراخوانی می­کند. سپس کد مخرب اقدام به رمزنگاری فایل­ها توسط الگوریتم متقارن AES می­کند. این روش باعث شده تا تحلیل و ردیابی آن برای آنتی ­ویروس­ها و تیم­ های تحقیقاتی سخت­ تر شود. نکته جالب توجه آن است که باج ­افزار کلید رمزنگاری را درون یک فایل ذخیره می­کند و کاربر می‌تواند با دانستن نحوه کار الگوریتم، فایل­ها را رمزگشایی کند. احتمالا این قضیه نشان می­دهد این باج ­افزار هنوز در مرحله توسعه قرار دارد.

دانلود گزارش کامل باج افزار

برچسب‌ها