20 08 2016

سجلت شركة «إسيت» خلال الأسبوع الماضي، تحولاً في سلوك برمجية Nemucod، تمثل بالانتقال من تحميل برمجيات انتزاع الفدية، إلى تحميل برمجية Kovter الخبيثة للضغط على الإعلانات.
 
ويستقبل المستخدم المستهدف، رسالة بريد إلكتروني مع مرفقات مصابة تحمل ملفاً تنفيذياً من امتداد.js - وهو برمجية التحميل. وبعد فك الضغط والتشغيل، تقوم البرمجية بتحميل خمسة ملفات في آن معاً. ويعمل أول ملفين من هذه الملفات كبرمجيات للضغط على الإعلانات.

وتقوم الملفات الثلاثة المتبقية بالعثور على أهم الملفات وأكثرها قيمةً على جهاز الكومبيوتر وتشفيرها. ومن أجل تشغيل برمجية انتزاع الفدية، قامت Nemucod بتثبيت مترجم لغة PHP ومكتبة PHP إضافية (هذان الملفان لا يحتويان أي فيروسات).
 
وفقط عند اكتشاف إسيت للملف الثالث، يتم تحميل فيروس تشفير الملفات PHP/‏Filecoder.D، ليبدأ بتنفيذ أنشطته الخبيثة باستخدام مفتاح تشفير ضمني موجود ضمن البرمجية الخبيثة.

ويتم تشفير ملفات من 120 نوعاً مختلفاً من الامتدادات، ومن ضمنها ملفات مايكروسوفت أوفيس، والصور، والفيديو، والملفات الصوتية، وغيرها من الملفات التي تحصل جميعها على لاحقة «.crypted».

وبعد إنهاء برمجية انتزاع الفدية لعملية تشفير الملفات، تقوم برمجية Nemucod بإنشاء ملف نصي يحتوي رسالة طلب الفدية. وفي النهاية، تتم إزالة مترجم لغة PHP، والمكتبة المرفقة، وبرمجية تشفير الملفات من النظام.

© البيان 2016