باج افزار جدید به نام TFlower !

دسته بندی ها : اخبار ۱ مهر ۱۳۹۸ فایزه اشرفیان اشرفیان 190 بازدید

باج افزار جدیدی به نام TFlower کشف شده است. این باج افزار شبکه های سازمانی را مورد حمله قرار میدهد و پس از سواستفاده کردن از آسیب پذیری در سرویس های Remote Desktop ، بر روی شبکه ها نصب می شود.

موج انتشار این بدافزار بسیار سریع پیش میرود؛ چرا که توسعه دهندگان آن با هدف قرار دادن سازمان های دولتی و خصوصی مبالغ زیادی بدست می آورند.

BleepingComputer در حال تحقیق بر روی این باج افزار می باشد که در اوایل ماه اوت کشف شده است.

دسترسی از طریق RDP

TFlower از طریق سرویس های Remote Desktop هک شده توسط مهاجم، در شبکه نصب می شود.

مهاجم بعد از دسترسی به دستگاه سیستم قربانی را آلوده می کند. همچنین  با استفاده از ابرازهایی مانند PowerShell Empire ، PSExec و غیره کنترل شبکه را بدست می آورد. بعد از این عملیات، کنسولی نمایش داده میشود که فعالیت های بدافزار را هنگام رمزگذاری سیستم نشان میدهد.

سپس به منظور بررسی وضعیت شروع رمزگذاری رایانه ، دوباره به سرور فرمان و کنترل متصل می شود. در یکی از نمونه های دیده شده توسط BleepingComputer ، این سرور در یک سایت وردپرس هک شده قرار دارد و از URL زیر استفاده می کند:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start

سپس اقدام به پاک کردن فایل‌های مرتبط با پشتیبانی  سیستم عامل کرده و همچنین با اجرای دستوراتی حالت تعمیر ویندوز ۱۰ را غیرفعال میکند.

vssadmin.exe delete shadows /all /quietbcdedit.exe /set {default} recoveryenabled nobcdedit.exe /set {default} bootstatuspolicy ignoreallfailuresbcdedit.exe /set {current} recoveryenabled nobcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

همچنین پروسه ی Outlook.exe را جستجو و خاتمه داده می دهد تا بتواند فایل‌ها را باز کرده و  داده‌های آن را رمزگذاری کند.

سپس رمزگذاری داده های سیستم شروع می شود. و هرگونه ی فایلی در پوشه ی windows و پوشه ی music را از قلم می اندازد. هنگام رمزگذاری فایل ها، هیچ  پسوندی اضافه نمی شود. اما یک رشته ای (tflower*) را به اول فایل اضافه می‌کند که حدس زده می‌شود کلید رمزنگاری فایل باشد که در تصویر زیر نشان داده شده است.

بعد از رمزگذاری سیستم، وضعیت جدید بروزرسانی به سرور فرماندهی ارسال میشود:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]

یک فایل text با نام !_Notice_!.txt  در دسکتاپ سیستم قربانی قرار داده میشود که قربانیان را راهنمایی می کند تا برای آگاهی از دستورالعمل های پرداخت با آدرس های ایمیل flower.harris@protonmail.com یا flower.harris@tutanota.com تماس بگیرند. مقدار باج خواسته شده در آن اعلام نمیشود.

محققان در حال تحقیق بر روی این باج افزار هستند و هنوز راهی برای برگرداندن فایل های قربانیان به صورت رایگان ارائه نشده است.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

  1. محمدی گفته :
    ۱۹:۱۲ ۱۳۹۸/۰۸/۱۹

    سلام
    محمدی هستم
    سایتتون رو بررسی کردم
    محتواهای خوبی نوشتین
    سایتتون سرعت مناسبی داره
    من هم مثل شما سایت هام رو با وردپرس می سازم
    وردپرس واقعا محشره و خیلی زود با وردپرس میشه اومد تو صفحه اول گوگل
    یک موردی که من تو سایت شما دیدم اینه که تعداد بک لینک هاتون خیلی کمه
    برای همین هم هست که تو تعداد زیادی کلمه کلیدی مهم تو صفحه اول گوگل نیستید
    راستی یادم رفت بگم ، من متخصص سئو هستم
    اگه یه مقدار در مورد بک لینک سازی فعالیت کنید ، مطمئنا نتیجه های فوق العاده ای می گیرید

    یه سایت هست بک لینک رایگان و پر قدرت رو برای مدت محدود برای دانلود قرار داده
    یه رپرتاژ خبری هم به ارزش ۴۰۰ هزار تومان داره رایگان میده

    پیشنهاد می کنم حتما دانلود کنید مختص سایت های وردپرسی مثل شماست
    تا هنوز بر نداشتن ، برید دانلود کنین

    لینک دانلود اگه اشتباه نکنم این بود

    https://co10.ir/product/free-backlinks-reportage/

  2. کوتن گفته :
    ۱۲:۵۹ ۱۳۹۸/۰۸/۲۳

    سلام
    تبریک می گم
    تو این زمینه بهترین هستین

    سایتتون هم زیباست

  3. عنوان تبلیغاتی گفته :
    ۱۲:۰۹ ۱۳۹۸/۰۹/۰۳

    چگونه آمار بازدید کنندگان سایتتان را ۲ برابر کنید ؟

    چگونه درآمد سایتتان را ۲ برابر کنید ؟

    چگونه در نتایج گوگل بیشتر دیده شوید ؟

    دیوید اگیلوی (پدر علم تبلیغات ) می گوید :
    ۹۵ درصد افراد فقط عناوین را می خوانند .
    اگر عنوان قانعشان کرد ، سراغ متن می روند و محتویان صفحه شما را می خوانند
    جمله مهم دیگر دیوید اگیلوی در مورد عنوان :
    افرادی که عناوین را می خوانند ، ۵ برابر بیشتر از افرادی هستند که متن کامل را می خوانند .

    جمله دیگر از دیوید اگیلوی :
    وقتی که عنوان را نوشتید ، ۸۰ درصد کار را انجام دادید

    البرت لاسکر (پدر تبلیغات مدرن ) می گوید :
    عنوان ۹۰ درصد تاثیر یک آگهی یا مطلب را شامل می شود .

    جان کاپلر در مورد عنوان نویسی می گوید :
    عنوان شما در مطالب و آگهی ها ، باعث موفقیت و شکستتان می شود .

    برای مطالعه و دانلود ۹۶۵ عنوان برتر تبلیغاتی
    که باعث افزایش بازدید و افزایش درآمد سایتتان می شود
    روی لینک زیر کلیک کنید

    https://co10.ir/blog/website/title.html/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!