ورود بدافزار خونبهای جدید توسط سرویس RDS ویندوز

یک نوع جدید از بدافزار خونبها با نام -dubbed LowLevel04 – کاربران کشور های یونان و بلغارستان را مورد حمله قرار داد. این بدافزار بصورت دستی بر روی کامپیوتر های قربانیان توسط سرویس Remote Desktop Services ویندوز RDS یا Terminal Service قرار گرفته است.

بعضی از قربانیان آسیب پذیری را به دلیل حمله Brute Force به رمز های عبور کامپیوتر هایشان از طریق RDS دانسته اند. با توجه به آنالیز هایی که بر روی چندین نمونه از این هک انجام شده مشخص شده است که هکر به کامپیوتر قربانی دسترسی یافته و با دانلود نمودن بسته نرم افزاری که کلید های رمز نگاری شده تولید می کرد تمامی فایل های قربانی را رمز نگاری نموده و یک فایل پشتیبان از فایل های رمز نگاری شده از طریق Terminal Service به دایرکتوری temp هکر ارسال می نمود \\tsclient\c\temp\

به نظر می رسد تا بحال هیچ آنتی ویروسی قادر به شناسایی آن نبوده است. بیشتر فایل های رمزنگاری شده شامل پسوند های (.zip, .jpg, .mp3, .docx, .exe) بوده اند و توسط کلید RSA-2048 رمز نگاری شده اند و در انتهای هر فایل پسوند .oorr اضافه شده است و در نهایت در داخل هر دایرکتوری یک نوشته به شکل زیر قرار داده شده است.

ransomnote-23102015-small

تماس با هکر از طریق دو ایمیل امکان پذیر بوده و در جهت رمز گشایی فایل های قربانی مبلغ ۴ bitcoin معادل با ۱۰۰۰ دلار درخواست شده است. این بدافزار در جهت مخفی نگاه داشتن خود از دید آنالیزگرهای امنیتی تمامی لاگ های خود را در سیستم و نرم افزار های امنیتی حذف نموده است.

برای افرادی که تمایل به بازیابی فایل های خود بدون پرداخت مبلغی را دارند یک راه حل وجود دارد. در مواردی مشابه از اجرای بدافزار دیده شده است که بدافزار، کپی  Shadow Volume را حذف ننموده است. این بدان معنی است که شما قادر به بازیابی اطلاعات خود از طریق ابزار File Recovery Tools را خواهید داشت.

در این لینک طرز بازیابی اطلاعات شرح داده شده است.