کد خبر: ۴۲۳

مایکروسافت بدافزار GigaWiper منتسب به گروه هکری مرتبط با ایران را شناسایی کرد

بدافزار

مایکروسافت از شناسایی بدافزار جدید GigaWiper خبر داد؛ بدافزاری که به گفته این شرکت، احتمالاً توسط گروه هکری مرتبط با ایران با نام CyberAv3ngers توسعه یافته و قادر است از رایانه کاربران جاسوسی کرده و اطلاعات آن را به‌طور کامل نابود کند.

مهسا طاعتی
خبرنگار:
مهسا طاعتی

سه روش برای نابودی کامل رایانه 

به گزارش تک‌رادار و بر اساس هشدار مایکروسافت، بدافزار GigaWiper با ترکیب چندین نوع مختلف از بدافزارها ساخته شده است و به نظر می‌رسد توسط گروه تهدید وابسته به دولت ایران با نام CyberAv3ngers توسعه یافته باشد. هکرها همچنین از طریق سازوکار مبهم‌سازی این بدافزار، طعنه‌ای نیز به مایکروسافت زده‌اند.

مایکروسافت همچنین توضیح داده است که این بدافزار می‌تواند درایو فیزیکی را بازنویسی کرده و جدول پارتیشن را پاک کند و به این ترتیب، محتوای دیسک را به‌طور مستقیم از بین ببرد. علاوه بر این، بدافزار GigaWiper قادر است تمام فایل‌های موجود روی درایو را رمزگذاری کند، پسوند .candy را به آن‌ها اضافه کند و تصویر پس‌زمینه دسکتاپ را به‌گونه‌ای تغییر دهد که یک پیام هشدار نمایش داده شود. با این حال، برخلاف باج‌افزارهای متداول، این بدافزار هیچ یادداشت درخواست باجی نمایش نمی‌دهد و هیچ کلید رمزگشایی نیز تولید نمی‌کند. بنابراین، چیزی برای پرداخت وجود ندارد و هیچ راهی برای بازیابی فایل‌ها از طریق رمزگشایی نیست؛ فایل‌ها برای همیشه از دست می‌روند و تنها امیدی واهی به قربانیان داده می‌شود.

جاسوسی پیش از تخریب اطلاعات

در نهایت، بدافزار GigaWiper در سومین روش، مستقیماً درایو ویندوز را هدف قرار می‌دهد و با بازنویسی چندباره آن با الگوهای مختلف داده، موجب حذف کامل اطلاعات می‌شود. این بدافزار علاوه بر از کار انداختن دیسک، می‌تواند از قربانیان نیز جاسوسی کند؛ از جمله با گرفتن اسکرین‌شات، ضبط صفحه‌نمایش یا ایجاد یک نشست VNC برای پخش زنده فعالیت‌های کاربر یا فراهم کردن امکان کنترل ماوس و صفحه‌کلید توسط مهاجمان. بدافزار GigaWiper همچنین قادر است اطلاعات سیستم را استخراج کند، برنامه‌ها و سرویس‌ها را مدیریت کند، رجیستری ویندوز را تغییر دهد و قابلیت‌های دیگری نیز در اختیار مهاجمان قرار دهد.

پنهان شدن پشت  OneDrive

اما شاید جالب‌ترین ویژگی این بدافزار، نحوه پنهان شدن آن باشد. بدافزار GigaWiper یک وظیفه زمان‌بندی‌شده با نام OneDrive Update ایجاد می‌کند و اطلاعات خود را در یک کلید رجیستری با نام OneDrive\Environment ذخیره می‌کند. احتمالاً مهاجمان تصور کرده‌اند که معمولاً کسی توجه زیادی به OneDrive ندارد و به همین دلیل، بدافزار می‌تواند مدت بیشتری از دید کاربران و مدیران سیستم پنهان بماند.

در مورد عاملان این حمله، مایکروسافت نامی از آن‌ها نبرده است، اما بیشتر مؤلفه‌هایی که GigaWiper را تشکیل می‌دهند، پیش‌تر به گروه CyberAv3ngers نسبت داده شده بودند؛ گروهی که با سازمان‌های اطلاعاتی ایران مرتبط دانسته می‌شود.

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث