Elementor برنامههای اصلی سیستم را پاک میکند
محققان امنیت سایبری بدافزاری جدید به نام Elementor را کشف کردهاند که با نفوذ به سیستم، برنامههای اصلی آن را پاک میکند.
بدافزار Elementor نسخه ارتقا یافته بدافزار Dilemma است که شبکههای مبتنی بر ویندوز را هدف میدهد. با توجه به نوظهور بودن این بدافزار، لازم است تمهیدات پیشگیرانه برای مقابله با آن اندیشیده شود.
بدافزار جدیدی موسوم به Elementor یا Elemental شناسایی شده که شباهت بسیاری به Dilemma دارد. از مهمترین شباهتهای عملکردی هر دو بدافزار میتوان به حذف برنامههای اصلی سیستمعامل سرور مانند wipe ،servermanager.exe جدول پارتیشن سیستمعاملها، استفاده از میوتکس با نام REV08.tmp و REV09.tmp برای جلوگیری از اجرای همزمان دو نسخه از برنامه اشاره کرد.
البته این دو فایل دارای تفاوتهایی نیز هستند که از جمله مهمترین آنها میتوان به استفاده از بیت-لاکر برای قفل کردن پارتیشنها و تغییر پسوند فایلها (در نسخه مورد بررسی، پسوند فایلهای docx به foold، فایلهای xlsx به foolx، فایلهای doc به fooldc و فایلهای xls به foolxc تغییر میکند) اشاره کرد.
این بدافزار برای انتشار در شبکه و سیستمها و تخریب اطلاعات از فایلهای اجرایی مخرب استفاده میکند، که فهرست آنها بههمراه مشخصاتی مانند مسیر فایل و کد Hash فایل در جداول زیر ارائه شده است.
توصیه میشود نسبت به پیشگیری و مقابله با این بدافزار، معرفی و شناساندن آنها به سامانههای ضدبدافزار و سایر ابزارهای امنیتی اقدام شود.
| کد فایل Hash | مسیر | نام فایل |
|---|---|---|
| MD5: 838fe94b9899ad4ed12c29ee016ddd9a
SHA-1: 8a7e6aa8a78e8280105c27a14508782fcce0d816 SHA-256: 1025eea2f39328b838569e2ebc6584f0edcf62b146e3ec08fa19885853835e0e |
\C:\windows | elementor.exe
elemental.exe |
| MD5: cb7d52303f8ca11c98015fc037c24cde
SHA-1: b3a6964c7bb6741be5aeea6fcebf17144340508b SHA-256: 89ed56453846d38a5c83412b2410a72c97be8c8c8f26418d6052728caab4c30d |
C:\windows\ temp |
Tmp936C.tmp.bat |
| MD5: ba09568775fcd2cd2c3d45594a6cfe29a84
SHA-1: 6b412a98b2500c4078ed68b44ebd2536f73de4b1 SHA-256: 293f4e476f4fb47d2321e6446293d9d93c28b981cdf9521145c969d1c59ae3ee |
C:\windows\ temp | Tmp93CB.tmp.dll |
