پیشتازان تکنولوژی ، اولین فروشگاه تخصصی محصولات استوک و کارکرده
021 - 9100 94 98
9 مقاله در مقالات آموزشی

نسخه جدید باج افزار FTCode

  تاریخ ٠٧ اسفند ۱٣۹٨
  تعداد بازدید 1501

عملکرد باج افزار FTCode چگونه است؟

 

به تازگی نسخه جدید باج افزار FTCode مبتنی بر PowerShell منتشر شده است که اطلاعات احراز هویت را از مرورگرهای وب و برنامه های ایمیل سرقت می کند و به رمزگذاری فایل ها می پردازد. چنین باج افزاری برای اولین بار در سال 2013 میلادی مشاهده شده بود اما نسخه جدید آن که اواخر سال 2019 پا به دنیای اطلاعات گذاشت، پیشرفت بسیاری کرده و پیچیده تر از قبل عمل می کند. روند کار ساده است اما عملکرد پیچیده این باج افزار باعث می شود تا خیلی از کاربران اینترنت قربانی آن شوند.

با تکامل FTCode در PowerShell، این بدافزار نیازی به دانلود فایل های اضافی ندارد و به تنهایی می تواند سیستم هدف را رمز گذاری کند، البته قبل از رمزگذاری فایل ها، تمامی گذرواژه های ذخیره شده در مرورگر را استخراج می کند.

مرورگرهای Google Chrome، Mozilla Firefox، Internet Explorer و برنام های Microsoft Outlook و Mozilla Thunderbird مورد هجوم FTCode قرار گرفته اند که عملکرد آن نسبت به هر یک از این مرورگرها و برنامه ها متفاوت بوده است. حمله این باج افزار به Internet Explorer و Microsoft Outlook مستقیما به رجیستری آن هاست و پوشه های حاوی اطلاعات اهراز هویت در Google Chrome، Mozilla Firefox و Mozilla Thunderbird مورد هجوم واقع می شوند.

بعد از اینکه باج افزار اطلاعات مورد نیازش را سرقت کرد، همه نام های کاربری و رمزهای عبور را با Base 64 رمزگذاری کرده و آن ها را با یک درخواست از نوع POST به سرور فرمان و کنترل (C&C) ارسال می کند که این قابلیت در نسخه های قبلی وجود نداشته است.

باج افزار FTCode ابتدا یک ایمیل اسپم حاوی فایل های مخرب Word با عناوینی مانند صورت حساب مالی، اسکن اسناد و رزومه افراد ارسال می کند، سپس دانلودکننده بدافزار JasperLoader را به سیستم هدف منتقل می کند تا عملیات رمزگذاری انجام شود. سپس این باج افزار برای جلوگیری از بازیابی رایگان اطلاعات، محیط بازیابی ویندوز را غیرفعال کرده و کپی های Shadow Volume و فایل های پشتیبان را به طور کامل حذف می کند. در انتها پسوند FTCode به فایل های رمزگذاری شده اضافه می شود.

پیشنهاد می کنیم برای اینکه در دام این باج افزار نیفتید، از بازکردن هرگونه ایمیل ناآشنا با عناوینی که در بالا نام برده شد یا هر عنوان دیگری مشابه با آن ها خودداری کنید.


منبع: http://gbhackers.com/ftcode-ransomware