برای مشاهده نتایج کلید Enter و برای خروج کلید Esc را بفشارید.

حمله باج افزار Snatch در حالت Safe Mode

متخصصان امنیت سایبری نوع جدیدی از باج افزار Snatch را ردیابی کرده اند که ابتدا کامپیوتر تحت سیستم عامل ویندوز را ریبوت میکند وبعد در حالت Safe Mode فایل های موجود روی سیستم را رمزنگاری میکند تا از این طریق نرم افزار آنتی ویروس را دور بزند.

برخلاف بد افزارهای سنتی باج افزار جدید Snatch در حالت Safe Mode  اجرا میشود چون در این حالت سیستم عامل با کمترین میزان از درایورها وسرویس ها اجرا میشود واکثر برنامه های استارت آپ از جمله آنتی ویروس در این حالت اجرا نمیشوند.

Snatch از حداقل تابستان ۲۰۱۸ فعال بوده ولی محققین SophosLabs  ویژگی Safe Mode را در این باج افزار فقط در حملات اخیر مشاهده کرده اند.

محققین SophosLabs   مجموعه حملات باج افزاری را بررسی کرده اند که در آنها باج افزار سیستم ویندوز را مجبور به ریبوت شدن و ورود به حالت safe Mode   میکند وبعد عملیات رمز نگاری را انجام می دهد.این باج افزار خود را در قالب سرویس SuperBackupMan با کمک رجیستری ویندوز راه اندازی میکند که در زمان ریبوت  SafeMode اجرا میشود.

وقتی سیستم وارد حالت SafeMode  میشود بدافزار با استفاده از کامپوننت ویندوزی net.exe سرویس SuperBackupMan را متوقف میکند وسپس با استفاده از کامپوننت vssadmin.exe تمام کپی های Volume Shadow روی سیستم را پاک میکند که این امر بازیابی اطلاعات رمزنگاری شده توسط باج افزار را غیر ممکن میکند.

موضوعی که Snatch را متفاوت تر و خطرناک تر از بقیه میکند این است که علاوه بر باج خواهی سرقت اطلاعات هم انجام میدهد.این باج افزار شامل یک ماژول سرقت اطلاعات بسیار پیچیده است که به هکر ها توانایی سرقت اطلاعات ازسازمان ها را می دهد.

با اینکه باج افزار Snatch تحت زبان برنامه نویسی Go نوشته شده ولی طوری طراحی شده که فقط روی پلتفرم ویندوز اجرا شود.Snatch می تواند روی بیشتر نسخه های معمول ویندوز از ۷ تا ۱۰ در ورژن های ۳۲ بیت .۶۴ بیت اجرا شود.علاوه بر این هکرهای طراح Snatch از سایر تبهکاران که به مجوزهای سازمانی دسترسی دارند دعوت به همکاری کرده اند تا در ابعاد وسیع تر اکسپلویت انجام شود.در یکی از انجمن های زیر زمینی آگهی توسط یکی از اعضای گروه منتشر شده بود که در آن از کسانی که به RDP/VNC/TeamViewer/WebShell/SQL injection   دسترسی دارند دعوت به همکاری شده بود.