تکامل باجافزار Sodinokibi که با نام REvil نیز شناخته میشود، همچنان ادامه دارد.
منبع : مرکز مدیریت راهبردی افتا
تکامل باجافزار Sodinokibi که با نام REvil نیز شناخته میشود، همچنان ادامه دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در جدیدترین مورد، گردانندگان باجافزار Sodinokibi اقدام به افزودن قابلیتی کردهاند که باجافزار را قادر به رمزگذاری، حتی در زمانی که فایل توسط فرایندی دیگر، باز یا قفل شدهاست، میکند. بسیاری از برنامهها با قفل کردن فایل، از تغییر همزمان آن توسط فرایندی دیگر جلوگیری میکنند. ضمن اینکه در سیستم عامل Windows زمانی که فایلی توسط فرایندی باز و مدیریت میشود از نوشته شدن در آن فایل توسط یک فرایند دیگر جلوگیری میشود.
بنابراین بدون از کار انداختن فرایند اول، نمیتوان فایلهای قفل شده توسط آن را رمزگذاری کرد. به همین خاطر بسیاری از باجافزارها برنامههای متداولی همچون نرمافزارهای پایگاه داده و سرورهای ایمیل را قبل از رمزگذاری فایلها متوقف میکنند.
اکنون محققان اعلام کردهاند که نسخه جدید Sodinokibi که از آن با عنوان Version ۲,۲ یاد میشود از یکی از رابطهای برنامهنویسی Microsoft با نام Windows Restart Manager برای بستن فرایندها و سرویسهای Windows که فایلهای هدف این باجافزار را قفل میکنند بهره میگیرد. تصویر زیر بخشی از کد باجافزار را نشان میدهد که در آن از رابط برنامهنویسی Windows Restart Manager استفاده شده است.
هدف Microsoft از پیادهسازی Windows Restart Manager کاهش راهاندازیهای مجدد (Restart) سیستم، در جریان تکمیل فرایندهای نصب و بهروزرسانی است. در مستندات این شرکت اشاره شده که دلیل لزوم راهاندازی مجدد سیستم در حین نصب و بهروزرسانی برخی نرمافزارها، استفاده شدن بعضی فایلهای نیازمند بهروزرسانی توسط یک برنامه یا سرویس دیگر است. Windows Restart Manager امکان متوقف کردن و راهاندازی مجدد نمودن تمامی سرویسها را – بهغیر از سرویسهای حیاتی سیستم – فراهم میکند. موضوعی که سبب آزاد شدن فایلهای مورد استفاده و تکمیل عملیات نصب میشود. از باجافزارهایی که از قبل از Sodinokibi از Windows Restart Manager استفاده کردهاند میتوان به SamSam و LockerGoga اشاره کرد.
همچنین یکی از محققان اعلام کرده که REvil Decryptor v۲,۲ نیز مجهز به قابلیت استفاده از Windows Restart Managerبرای از کاراندازی فرایندهایی که مانع از رمزگشایی فایلها میشوند شده است. REvil Decryptor ابزار رمزگشایی ساخته شده توسط گردانندگان این باجافزار است.