تکامل باجافزار Sodinokibi که با نام REvil نیز شناخته میشود، همچنان ادامه دارد.
بازگشت Sodinokibi با قابلیتهای بیشتر
مرکز مدیریت راهبردی افتا , 28 ارديبهشت 1399 ساعت 9:00
تکامل باجافزار Sodinokibi که با نام REvil نیز شناخته میشود، همچنان ادامه دارد.
تکامل باجافزار Sodinokibi که با نام REvil نیز شناخته میشود، همچنان ادامه دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در جدیدترین مورد، گردانندگان باجافزار Sodinokibi اقدام به افزودن قابلیتی کردهاند که باجافزار را قادر به رمزگذاری، حتی در زمانی که فایل توسط فرایندی دیگر، باز یا قفل شدهاست، میکند. بسیاری از برنامهها با قفل کردن فایل، از تغییر همزمان آن توسط فرایندی دیگر جلوگیری میکنند. ضمن اینکه در سیستم عامل Windows زمانی که فایلی توسط فرایندی باز و مدیریت میشود از نوشته شدن در آن فایل توسط یک فرایند دیگر جلوگیری میشود.
بنابراین بدون از کار انداختن فرایند اول، نمیتوان فایلهای قفل شده توسط آن را رمزگذاری کرد. به همین خاطر بسیاری از باجافزارها برنامههای متداولی همچون نرمافزارهای پایگاه داده و سرورهای ایمیل را قبل از رمزگذاری فایلها متوقف میکنند.
اکنون محققان اعلام کردهاند که نسخه جدید Sodinokibi که از آن با عنوان Version ۲,۲ یاد میشود از یکی از رابطهای برنامهنویسی Microsoft با نام Windows Restart Manager برای بستن فرایندها و سرویسهای Windows که فایلهای هدف این باجافزار را قفل میکنند بهره میگیرد.
تصویر زیر بخشی از کد باجافزار را نشان میدهد که در آن از رابط برنامهنویسی Windows Restart Manager استفاده شده است.
کد مطلب: 16640