باج افزار عجیبی به نام باج افزار باراک اوباما منتشر شد

باج افزار باراک اوباما

گاهی ما با بدافزارهای عجیبی مانند باج افزار رئیس جمهور اوباما که اخیرا در فضای اینترنت منتشر شده است روبرو می شویم. باج افزار باراک اوباما تنها فایل های اجرایی EXE. را برروی کامپیوتر رمزنگاری می کند. سپس یک صفحه جدیدی با عکس رئیس جمهور اوباما برای توضیح ظاهر می شود و در پی آن فایل ها را قفل می کند.

نام این باج افزار “Barack Obama’s Everlasting Blue Blackmail Virus” است که در عکس زیر نیز می توانید نام عجیب این ویروس باج گیر را ببینید.

باج افزار رئیس جمهور اوباما

در هنگام اجرا، این باج افزار تمام فعالیت آنتی ویروس ها را متوقف می کند و سپس شروع به اجرای عملیات خود می کند. دستوراتی که عملیات آنتی ویروس را متوقف می کنند عبارت است از :

taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe

سپس شروع به اسکن کردن کامپیوتر برای پیدا کردن فایل های EXE. می کند و پس از پیدا کردن این فایل ها آنها را رمزنگاری می کند. این باج افزار در هنگام رمزنگاری تمام فایل های EXE. را هدف می دهد و حتی آنهایی که در پوشه ویندوز قرار دارند نیز از این آسیب در امان نخواهند ماند. این موضوع کمی عجیب است زیرا باج افزارهای دیگری که فایل های اجرایی را رمزگذاری می کردند اغلب به فایل های سیستم عامل آسیب وارد نمی کردند.

در قسمتی از عملیات رمزنگاری، باج افزار باراک اوباما کلیدهای رجیستری مربوط با فایل های EXE. را نیز تغییر می دهد. کلیدهای تغییر داده شده را می توانید در لیست زیر مشاهده نمایید

HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\	
HKLM\SOFTWARE\Classes\exe\EditFlags	۲
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\	C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\	"C:\Users\User\codexgigas_.exe" "%1"

این پیغام در رابطه با باج افزار نمایش داده می شود که می گوید کاربر باید با مهاجمین برای دریافت دستورالعمل پرداخت باج تماس بگیرد. راه تماس نیز در این پیغام اعلام شده که آدرس ایمیل ۲۲۰۰۲۸۷۸۳۱@qq.com است.

Hello, your computer is encrypted by me! Yeah, that means your EXE file isn't open! Because I encrypted it.
So you can decrypt it, but you have to tip it. This is a big thing. You can email this email: 2200287831@qq.com gets more information.

هنوز مشخص نیست که چگونه این باج افزار توزیع می شود یا اینکه تولید کنندگان آن چگونه کلید رمزگشایی را پس از پرداخت باج برای قربانی ارسال می کنند.

باراک اوباما تنها رئیس جمهوری نیست که باج افزاری را به نامش گذاشتند. چندی پیش در سال ۲۰۱۶ در هنگام انتخابات ریاست جمهوری امریکا باج افزاری دیگر به نام دونالد ترامپ نیز منتشر شده بود. باج افزار دونالد ترامپ نیز توانسته بود تعدادی کامپیوتر را به خود آلوده کند.

 

مرتبط : باج افزار چیست ؟ راه مقابله با ویروس باجگیر

مرتبط : بانک ابزار رمزگشایی باج افزار – اطلاعات خود را رایگان بازگردانید

منبع : Barack Obama’s Blackmail Virus Ransomware Only Encrypts .EXE Files

 


باج افزار عجیبی به نام باج افزار باراک اوباما منتشر شد


 

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *