بازگشت Sodinokibi با قابلیت‌های بیشتر
کد مطلب: 16640
تاریخ انتشار : يکشنبه ۲۸ ارديبهشت ۱۳۹۹ ساعت ۰۹:۰۰
 
تکامل باج‌افزار Sodinokibi که با نام REvil نیز شناخته می‌شود، همچنان ادامه دارد.
بازگشت Sodinokibi با قابلیت‌های بیشتر
 
 
Share/Save/Bookmark
تکامل باج‌افزار Sodinokibi که با نام REvil نیز شناخته می‌شود، همچنان ادامه دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در جدیدترین مورد، گردانندگان باج‌افزار Sodinokibi اقدام به افزودن قابلیتی کرده‌اند که باج‌افزار را قادر به رمزگذاری، حتی در زمانی که فایل توسط فرایندی دیگر، باز یا قفل شده‌است، می‌کند. بسیاری از برنامه‌ها با قفل کردن فایل، از تغییر همزمان آن توسط فرایندی دیگر جلوگیری می‌کنند. ضمن اینکه در سیستم عامل Windows زمانی که فایلی توسط فرایندی باز و مدیریت می‌شود از نوشته شدن در آن فایل توسط یک فرایند دیگر جلوگیری می‌شود.

بنابراین بدون از کار انداختن فرایند اول، نمی‌توان فایل‌های قفل شده توسط آن را رمزگذاری کرد. به همین خاطر بسیاری از باج‌افزارها برنامه‌های متداولی همچون نرم‌افزارهای پایگاه داده و سرورهای ایمیل را قبل از رمزگذاری فایل‌ها متوقف می‌کنند.

اکنون محققان اعلام کرده‌اند که نسخه جدید Sodinokibi که از آن با عنوان Version ۲,۲ یاد می‌شود از یکی از رابط‌های برنامه‌نویسی Microsoft با نام Windows Restart Manager برای بستن فرایندها و سرویس‌های Windows که فایل‌های هدف این باج‌افزار را قفل می‌کنند بهره می‌گیرد.
تصویر زیر بخشی از کد باج‌افزار را نشان می‌دهد که در آن از رابط برنامه‌نویسی Windows Restart Manager استفاده شده است.

هدف Microsoft از پیاده‌سازی Windows Restart Manager کاهش راه‌اندازی‌های مجدد (Restart) سیستم، در جریان تکمیل فرایندهای نصب و به‌روزرسانی است. در مستندات این شرکت اشاره شده که دلیل لزوم راه‌اندازی مجدد سیستم در حین نصب و به‌روزرسانی برخی نرم‌افزارها، استفاده شدن بعضی فایل‌های نیازمند به‌روزرسانی توسط یک برنامه یا سرویس دیگر است. Windows Restart Manager امکان متوقف کردن و راه‌اندازی مجدد نمودن تمامی سرویس‌ها را – به‌غیر از سرویس‌های حیاتی سیستم – فراهم می‌کند. موضوعی که سبب آزاد شدن فایل‌های مورد استفاده و تکمیل عملیات نصب می‌شود.
از باج‌افزارهایی که از قبل از Sodinokibi از Windows Restart Manager استفاده کرد‌ه‌اند می‌توان به SamSam و LockerGoga اشاره کرد.

همچنین یکی از محققان اعلام کرده که REvil Decryptor v۲,۲ نیز مجهز به قابلیت استفاده از Windows Restart Managerبرای از کاراندازی فرایندهایی که مانع از رمزگشایی فایل‌ها می‌شوند شده است. REvil Decryptor ابزار رمزگشایی ساخته شده توسط گردانندگان این باج‌افزار است.
مرجع : مرکز مدیریت راهبردی افتا