Image

با دوستان خود به اشتراک بگذارید

باج افزار آنابل، کابوسی وحشتناک برای کاربران

طرفداران ژانر وحشت عواقب روبرو شدن با عروسک آنابل را می دانند، حالا کاربران هم باید مراقب باج افزاری با همین نام باشند، این باج افزار از چندین حقه استفاده می کند تا کامپیوتر آلوده شده را به ویرانی بکشاند.
این باج افزار می تواند Defender ویندوز و فایروال را غیرفعال کند، فایل ها را رمزگذاری کند و برنامه های امنیتی مثل Process Explorer و کروم را ببندد. این باج افزار می تواند از طریق درایو های USB انتشار پیدا کند، بعضی از برنامه ها راغیرفعال کند و برای اینکه نشان دهد که به اندازه عروسک آنابل ترسناک است، رکورد اصلی کامپیوتر را با بوت لودر رونویسی می کند.

این باج افزار توسط یک محقق امنیتی با نام بارت کشف شد، بارت مشاهده کرد که وقتی کاربر در ویندوز لاگین می کند  باج افزار به صورت خودکار برنامه ها را می بندد. بعد از آن ورودی ها را در ریجستری Image File Execution تغییر می دهد تا کاربر نتواند برنامه ها را راه اندازی کند. از آن  به بعد سعی می کند از طریق فایل autoru.inf منتشر شود، البته گزارش ها حاکی از آن است که این تکنیک در نسخه های جدیدتر ویندوز کار نمی کند.

اما اگر باج افزار موفق عمل کند، کامپیوتر آلوده شده را ریبوت می کند و در قسمت لاگین، صفحه قفل را نشان می دهد که اطلاعات تماس توسعه دهنده باج افزار را نشان می دهد.
وقتی باج افزار آنابل برای بار اول اجرا شد، خودش را طوری تنظیم می کند تا به صورت خودکار زمان لاگین شدن شروع بکار کند. سپس انواع مختلفی از برنامه ها از قبیل Process Explorer، Process Hacker ، Msconfig، Task Manager ، Chrome و دیگر برنامه ها را می بندد.

سپس ورودی های ریجستری Image File Execution را تغییر داده و بنحوی تنظیم می کند که شما نتوانید انواع برنامه ها را از جمله نوت پد، اینترنت اکسپلورر، کروم، اپرا و غیره را باز کنید.
این باج افزار سپس با استفاده از فایل autoru.inf شروع به انتشار خودش می کند. این روش در نسخه های جدیدتر ویندوز که از ویژگی autoplay پشتیبانی نمی کنند تقریبا بی فایده است.

پس از آنکه کامپیوتر ریبوت شد و کاربر لاگین شد، صفحه قفل نشان داده می شود. صفحه قفل دکمه Credit دارد که وقتی روی آن کلیک می کنیم نام توسعه دهنده iCoreX0812 و اطلاعات تماس آن در سایت Discord نشان داده خواهد شد.

در آخرین مرحله، توسعه دهنده تصمیم می گیرد برنامه ای را اجرا کند که رکورد اصلی بوت کامپیوتر آلوده شده را وقتی کامپیوتر ری استارت می شود، جایگزین کند. اما آنابل در اینجا کارش تمام نمی شود، به عنوان هدیه خداحافظی این باج افزار روی رکورد اصلی بوت رونویسی می کند.

با دوستان خود به اشتراک بگذارید