باج افزار Bad Rabbit

باج افزار Bad Rabbit که اولین ظهورش در سال 2017 بود یکی از مشکوک ترین نوع ها از نوع Peyta بود و به مانند

بقیه باج افزارها فایل ها و پرونده ها را از دسترس خارج میکند و در مقابل با دریافت بیت کوین آنها را باز میکند.

این باج افزار پیشتر توسط ابزار Adobe Flash و از طریق وب سایت های بسیار خطرناک گسترش یافت.

در واقع بازدیدکنندگان این سایت ها به واسطه اجرای جاوا اسکریپت های تزریق شده در کد html سیستم ها را آلوده میکردند.

یکی از اصلیترین شکل حمله این باج افزار به این صورت است که خود را مشابه نرم افزار فلش پلیر کرده و بعد از دانلود و نصب

توسط شخص قربانی یک سطح دسترسی بالا توسط اعلان استاندارد ویندوز یعنی UAS ایجاد می نماید

و در صورت شروع به فعالیت DLL، فایل مخرب خود را به صورت فایل dat ذخیره و با استفاده از rundll32 اجرا میکند.

فایل dat، این فایل بیشتر با نام windowsinfpub قابل مشاهده بوده.

پس از آلوده شدن سیستم شخص یک پیام قرمز به اون نمایش داده می شود که خبر از خارج شدن دسترسی فایل ها را دارد

و به این واسطه مبلغ 280 دلار بیت کوین طلب میکند. در آن زمان این مقدار بیت کوین

ارزش بسیار بالایی داشت و نکته جالب اینکه قربانی برای پرداخت 40 ماه فرصت داشت

24 اکتبر روز حمله جهانی باج افزار Bad Rabbit یا همان خرگوش بد بود موج این حملات بیشتر

در روسیه و اکراین گزارش شده بود و اهدافشان سازمان ها و مصرف کنندگان بودند

این باج افزار بیشتر به کمک حملات نصب درایور اقدام به تزریق کد ها میکرد.

خرگوش بد روش کار جالبی دارد آن هم قفل کردن Bootloader سیستم توسط یک برنامه کاملا مجاز

با نام DiskCrypto است مکانیزم رمزگذاری این باج افزار AES-128-CBC و RSA-2048 است

که در صورت تلاش برای کرک کردن کسی موفق با کرک آن نمی شود و تنها با کلید صحیح

اطلاعات قابل ریکاوری هستند کارشناسان شرکت Kaspersky با تحقیق و بررسی

درباره این باج افزار روش هایی را شناسایی کردند که میتوانست فایل های رمزگذاری شده خود را ریکاور کنند.

شما با شرکت دوره های آموزشی امنیت مانند CHFI ، SANS For 610 ، SANS 500 می توانید بدافزارها را شناسایی و تحیل نمایید .

باج افزار Bad Rabbit – خرگوش بد