باج افزار snatch با ریبوت سیستم در حالت safemode امنیت سیستم شما را به خطر می اندازد.

باج افزار snatch برخلاف انواع دیگر خود ، فایل های موجود در شبکه های آلوده را به سرقت می برد . سازندگان این باج افزار از ترفندی نوین برای دور زدن آنتی ویروس ها و رمز کردن داده های قربانیان بدون شناسایی شدن استفاده می کنند. این باج افزار با ریبوت کردن سیستم قربانی، فرآیند رمز کردن داده ها را در حالت safe mode اجرا می کند. دلیل این امر این است که اکثر برنامه های آنتی ویروس در حالت safe mode ( حالتی از سیستم عامل به منظور خطایابی و بازیابی ویندوز ) اجرا نخواهند شد .

با این حال، سازندگان snatch کشف کردند که آنها می توانند از یک کلید رجیستری برای برنامه ریزی یک سرویس ویندوز به منظور شروع در حالت safe mode استفاده کنند که این سرویس برنامه باج افزار را در حالت safe mode بدون خطر شناسایی توسط آنتی ویروس و توقف فرآیند آن اجرا خواهد کرد .

اما خطرناک ترین قسمت این حمله این است که این باج افزار خودش را به عنوان یک سرویس که حتی در حالت ریبوت safe mode اجرا می شود تنظیم می کند و سپس سیستم را ریبوت می کند، که در نهایت باعث خنثی کردن عمل بسیاری از ابزار های امنیتی خواهد شد.

این ترفند توسط تیم متخصص آزمایشگاه Sophos ، که درحال تحقیق بر روی یک باج افزار بودند، شناسایی شد . تیم تحقیقاتی آنها می گوید این یک خطر بزرگ است! و به خوبی می تواند توسط بقیه باج افزار ها هم مورد استفاده قرار گیرد .
این تیم پیش بینی می کنند که امکان افزایش شدت این تهدید بیش از این ممکن نیست و لازم است که این اطلاعات را به‌عنوان هشداری برای دیگر سازمان های امنیتی و همچنین کاربران منتشر کنند .

پرولاین به تمامی سازمان ها و شرکت های معتبر پیشنهاد می کند که با توجه به گسترش روزافزون حملات هکر ها و باج افزار و نتایج مخربی که این حملات در پی داشته، هر چه بیشتر به امنیت سازمان خود بهپردازند و با استفاده از محصولاتی مانند آنتی ویروس ها، محصولات جلوگیری از نشر اطلاعات و فایروال ها و … هرچه بیشتر به افزایش امنیت سازمان خود بپردازند. 

در جهت بهبود امنیت سازمان خود با ما تماس بگیرید .