تبیان، دستیار زندگی

ایران در رتبه دوم آلودگی به بدافزار

مدتی است نسخه جدید بدافزار NRSMiner در کامپیوترهای آسیب‌پذیر توزیع می‌شود و ایران با داشتن سهم 16 درصدی در رتبه دوم آلودگی به این بدافزار استخراج ارز دیجیتالی قرار دارد.
بازدید :
زمان تقریبی مطالعه :
بدافزار
اخیرا نسخه جدید ‫اکسپلویت EternalBlue با سرعت زیادی در جهان گشترش پیدا کرده که بسیاری از کارشناسان امنیتی در این نسخه وجود بدافزار استخراج ارز دیجیتالی به نام NRSMiner را مشاهده کرده‌اند. مدتی قبل گروه دلالان سایه‫ افشا کردند که اکسپلویت EternalBlue به عنوان یکی از ابزارهای جاسوسی امنیت ملی آمریکا شناخته می‌شود و هدف آن باج افزار واناکرای (WannaCry) است.

همچنین این اکسپلویت، پروتکل SMB نسخه 1 که میان هکرها نسخه محبوبی شناخته می‌شود را مورد هدف قرار می‌دهد.

هشدار مرکز ماهر در خصوص بدافزار استخراج ارز دیجیتالی

این بدافزار برای استخراج ارز دیجیتالی از استخراج‌کننده ارز رمزنگاری شده XMRig استفاده می‌کند. گفتنی است آن دسته از افرادی که برای جلوگیری از حمله‌های واناکرای به‌روزرسانی‌های مایکروسافت را نصب کرده باشند

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) در این خصوص اعلام کرد از اواسط ماه نوامبر سال 2018 نسخه جدید بدافزار NRSMiner در جهان توزیع شده است که این بدافزار با کمک اکسپلویت EternalBlue به کامپیوترهای آسیب‌پذیر استخراج ارز دیجیتالی در یک شبکه محلی نفوذ می‌کند.

این بدافزار تاکنون بیشتر در قاره آسیا گسترش یافته و پس از کشور ویتنام با 54 درصد، ایران با سهم 16 درصد در رتبه دوم آلودگی به بدافزار استخراج ارز دیجیتالی NRSMiner قرار دارد.

بدافزار NRSMiner با استفاده از دانلود ماژول‌های جدید و حذف فایل‌های قدیمی، خود را به‌روزرسانی کرده است. این بدافزار با عملکرد چندنخی (Multithreading) می‌تواند قابلیت‌های متفاوتی چون استخراج ارز دیجیتالی و فشرده‌سازی اطلاعات را انجام دهد.

بدافزار NRSMiner می‌تواند سایر تجهیزات محلی که در دسترسش قرار دارد را اسکن کرده و اگر پورت TCP شماره 445 را پیدا کند، بلافاصله اکسپلویت EternalBlue را به روی آن اجرا می‌کند تا پس از اجرای موفق، روی سیستم مورد نظر در پشتی DoublePulsar را نصب کند.

این بدافزار برای استخراج ارز دیجیتالی از استخراج‌کننده ارز رمزنگاری شده XMRig استفاده می‌کند. گفتنی است آن دسته از افرادی که برای جلوگیری از حمله‌های واناکرای به‌روزرسانی‌های مایکروسافت را نصب کرده باشند، از این روش آلوده نخواهند شد. توصیه می‌شود اگر برای نصب پچ‌های به‌روزسانی مشکل دارید، بهتر است در اولین فرصت پروتکل SMB نسخه 1 را غیرفعال کنید.
منبع: گجت نیوز