‫ انتشار به‌روزرسانی امنیتی VMWARE برای چندین محصول خود

VMwareیک توصیه‌نامه‌ی امنیتی جهت رفع آسیب‌پذیری‌هایی که محصولات مختلف آن را تحت‌تأثیر قرار می‌دهد، منتشر ساخته است. مهاجم می‌تواند با سوءاستفاده از این آسیب‌پذیری‌ها کنترل سیستم متأثر را در دست گیرد.

محصولاتی که تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از:

• VMware vSphere ESXi (ESXi)
• VMware Workstation Pro/Player (Workstation)
• VMware Fusion Pro/ Fusion (Fusion)

VMware ESXi، Workstationو Fusionدارای آسیب‌پذیری‌های خواندن خارج از محدوده با شناسه‌ی CVE-2019-5521و نوشتن خارج از محدوده با شناسه‌ی CVE-2019-5684در عملکرد pixel shaderهستند. هر دوی این آسیب‌پذیری‌ها از نظر شدت «مهم» رتبه‌بندی شده‌اند. آسیب پذیری CVE-2019-5521دارای امتیاز CVSSv3 6.3-7.7و آسیب‌پذیری CVE-2019-5684دارای امتیاز CVSSv3 8.5است.

جهت سوءاستفاده از این آسیب‌پذیری‌ها، لازم است مهاجم به یک ماشین مجازی که گرافیک سه‌بعدی آن فعال است دسترسی داشته باشد. گرافیک سه‌بعدی در ESXiبه طور پیش‌فرض فعال نیست؛ ولی در Workstationو Fusionبه طور پیش‌فرض فعال است.

سوءاستفاده‌ی موفق از آسیب‌پذیری خواندن خارج از محدوده (CVE-2019-5521)ممکن است منجر به افشای اطلاعات شود یا به مهاجمان دارای امتیاز دسترسی معمولی اجازه دهد یک حالت انکار سرویس در میزبان ایجاد نمایند.

آسیب‌پذیری نوشتن خارج از محدوده (CVE-2019-5684)تنها در صورتی می‌تواند مورد سوءاستفاده قرار گیرد که میزبان دارای درایو گرافیکNVIDIAکه تحت‌تأثیر آسیب‌پذیری قرار گرفته است، باشد. سوءاستفاده‌ی موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد در میزبان شود.

یکی از راه‌های مقابله با این آسیب‌پذیری‌ها، غیرفعال‌کردن ویژگی 3D-accelerationاست.

جهت رفع این آسیب‌پذیری‌ها لازم است وصله‌های لیست‌شده در جدول زیر با توجه به نسخه‌ی محصول آسیب‌پذیر، به کار گرفته شود.

محصول آسیب‌پذیر	نسخه	سیستم‌عامل اجرایی	نسخه به‌روزرسانی‌شده
ESXi	6.7	همه	ESXi670-201904101-SG
ESXi	6.5	همه	ESXi650-201903001
Workstation	15.x	همه	15.0.3
Workstation	14.x	همه	14.1.6
Fusion	11.x	OSX	11.0.3
Fusion	10.x	OSX	10.16

از طرفی دیگر، آسیب‌‌پذیری CVE-2019-5684را می‌توان با نصب درایو گرافیک NVIDIAبه‌روزرسانی‌شده، برطرف ساخت.

‫ باج‌افزار اندرویدی "FILECODER" با قابلیت انتشار از طریق پیامک

خانواده‌ی جدیدی ازباج-افزاربرای حمله به سیستم‌عامل تلفن همراه اندروید طراحی شده است که از پیام کوتاه برای انتشار خود استفاده می‌کند.
این باج‌افزار که "Android / Filecoder.C" نامگذاری شده‌ است، از طریق پست‌های مخرب در انجمن‌های برخط از جملهRedditو XDA-Developers منتشر می‌شود.
مهاجمان برای فریب کاربران برای کلیک کردن بر روی لینک‌های آلوده در پست‌های ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می‌کنند.
این باج‌افزار بعد از نصب بر روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می‌دهد.
بسته به تنظیمات زبان دستگاه آلوده، پیام‌ها در یکی از 42 نسخه‌ی ممکن زبان ارسال می‌شوند و نام مخاطب نیز به‌صورت خودکار در پیام درج می‌شود.
پس از ارسال پیام‌ها، Filecoder دستگاه آلوده را اسکن می‌کند تا تمام فایل‌های ذخیره را پیدا و اکثر آن‌ها را رمزگذاری کند. Filecoder انواع فایل‌ها از جمله فایل‌های متنی و تصاویر را رمزگذاری می‌کند اما فایل‌هایی با ویژگی‌های زیر را رمزگذاری نخواهد کرد:
• فایل‌های موجود در مسیرهای حاوی رشته‌های ".cache"، "tmp" یا "temp"
• فایل‌های دارای پسوند ".zip" و ".rar"
• فایل‌های با اندازه‌ی بزرگ‌تر از ۵۰ مگابایت
• تصاویر دارای پسوند ".jpeg"، ".jpg" و ".png" و با اندازه‌ی کوچکتر از ۱۵۰ کیلوبایت
• فایل‌های اندرویدی مانند ".apk" و ".dex"
پس از آن، یک یادداشت دریافت باج نمایش داده می‌شود که مبلغ درخواستی آن حدود 98 تا 188 دلار و به صورت ارز رمزنگاری‌شده است.
این باج‌افزار برخلاف دیگر باج‌افزارهای اندرویدی، صفحه‌ی نمایش دستگاه را قفل نمی‌کند یا مانع از استفاده از تلفن هوشمند نمی‌شود، اما اگر قربانی برنامه را حذف کند، فایل‌ها رمزگشایی نخواهند شد.
Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با یک الگوریتم RSA و یک مقدار به‌طور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال می‌شود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم می‌تواند کلید خصوصی و در نتیجه فایل‌ها را رمزگشایی کند.
لازم به ذکر است که این بدافزار از آدرس‌های زیر به عنوان مرکز کنترل و فرمان خود استفاده می‌کند:
• http://rich۷.xyz
• http://wevx.xyz
• https://pastebin.com/raw/LQwGQ۰RQ
متخصصان امنیت سایبری معتقدند که می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارایه می‌شود.
به دلیل هدف‌گیری محدود و نقص در اجرای برنامه و رمزگذاری آن‌، تأثیر این باج‌افزار جدید محدود است. با این وجود، اگر توسعه‌دهندگان، نقص‌ها را برطرف و اپراتورها شروع به هدف‌گیری گروه‌های وسیع‌تری از کاربران کنند، باج‌افزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.
برای جلوگیری از آلودگی به این نوع از باج‌افزارها لازم است موارد زیر در نظر گرفته شوند:
• نصب برنامه‌ها از منابع معتبر
• به‌روزرسانی سیستم‌عامل دستگاه
• توجه به مجوزهای درخواستی برنامه‌ها
• نصب آنتی‌ویروس و به‌روزرسانی آن

‫ هشدار آسیب‌پذیری بحرانی در سرویس REMOTE DESKTOP

مایکروسافت در تاریخ 13 آگوست 2019 (22 مرداد 98) تعدادی وصله امنیتی برای برطرف‌سازی دو آسیب‌پذیری بحرانی از نوع Remote Code Execution (RCE) در سرویس ریموت دسکتاپ (RDP) با شناسه‌های CVE-2019-1181 ، CVE-2019-1182 ، CVE-2019-1222 و CVE-2019-1226 ارائه نمود.

به گزارش مرکز پاسخ‌دهی به حوادث سایبری مایکروسافت، آسیب‌پذیری‌های مورد اشاره که ویندوزهای 7 SP1 ، Server 2008 R2 SP1 ، Server 2012 ، 8.1 ، Server 2012 R2 و تمامی نسخه‌های ویندوز 10 شامل نسخه‌های سرور آن را تحت تأثیر قرار می‌دهند.(آسیب پذیری های CVE-2019-1222 و CVE-2019-1226 مربوط به ویندوز 10 و ویندوز سرور میباشند) بر اساس این آسیب پذیری، هنگامی که یک مهاجم از طریق پروتکل RDP با ارسال درخواست‌هایی با سیستم هدف ارتباط برقرار می‌کند، به علت اینکه این آسیب پذیری‌ها مربوط به پیش از احراز هویت می‌باشند، به هیچ گونه تعامل با کاربر نیاز ندارد. لذا در صورت سوء‌استفاده مهاجمین از این آسیب پذیری‌ها، امکان اجرای کد دلخواه از راه دور بر روی سیستم هدف و کنترل کامل سیستم عامل قربانی وجود خواهد داشت. وصله امنیتی منتشر شده توسط مایکروسافت با اصلاح نحوه پاسخگویی به درخواست های اتصال در سرویس ریموت دسکتاپ امکان این سوء‌استفاده را از بین می‌برد.

تجارب گذشته در خصوص حملات گسترده مبتنی بر آسیب‌پذیری (از جمله باج‌افزار واناکرای) در سطح اینترنت نشان می‌دهد که معمولاً پس از گذشت مدتی از انتشار آسیب‌پذیری‌ها و وصله‌های امنیتی مربوط به آن‌ها، سیستم‌های در معرض خطر که در آن‌ها آسیب‌پذیری مذکور مرتفع نشده، هم خود مورد حملات متعدد قرار گرفته و هم از آن‌ها برای حمله به سیستم‌ها و شبکه‌های دیگر بهره‌برداری می‌گردد.

لذا با توجه به اهمیت موضوع، به تمام مدیران و راهبران شبکه توصیه اکید می‌گردد که قبل از انتشار کدهای مخرب برای سوءاستفاده از این آسیب‌پذیری‌ها، نسبت به رفع آن‌ها در سیستم‌عامل‌های مجموعه تحت مدیریت خود اقدامات لازم را در دستور کار قرار دهند. وصله‌های امنیتی منتشرشده برای آسیب‌پذیری‌های مذکور از وب‌سایت رسمی مایکروسافت به آدرس‌های زیر قابل دریافت است. همچنین کاربران با فعال‌سازی قابلیت به‌روز‌رسانی خودکار ویندوز نیز قادر به دریافت این وصله‌ها می‌باشند.

MITRE CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

MITRE CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

در پایان توصیه می‌گردد با توجه به سوءاستفاده اکثر مهاجمین و بدافزارها از سرویس ریموت دسکتاپ، اولاً این سرویس در صورت امکان مسدود گردد. ثانیاً در صورت ضرورت استفاده، با رعایت ملاحظات امنیتی و اعمال سیاست‌های امنیتی مناسب در فایروال بکار گرفته شود.

‫ انتشار وصله آسیب‌پذیری‌های منجر به RCE و DOS در محصولات VMWARE

‫VMwareدر یک به‌روزرسانی امنیتی برای مجموعه‌ای از محصولاتش، دو آسیب‌پذیری مهم موجود در آن‌ها را رفع کرده است. بهره‌برداری از این دو آسیب‌پذیری، با مجوزهای کاربری، می‌تواند منجر به اجرای کد از راه دور، افشای اطلاعات حساس و ایجاد حملات DoS شود.

نوع، شناسه و سطح اهمیت این دو آسیب‌پذیری به شرح زیر است.

یک آسیب‌پذیری خواندن خارج از محدوده با شناسه CVE-2019-5521 و سطح اهمیت 6.3 تا 7.7 در مقیاس CVSSv3
یک آسیب‌پذیری نوشتن خارج از محدوده با شناسه CVE-2019-5684 و سطح اهمیت 8.8 در مقیاس CVSSv3

آسیب‌پذیری خواندن خارج از محدوده به مهاجم توانایی خواندن اطلاعات حساس را از سایر مکان‌های حافظه می‌دهد که ممکن است منجر به افشای اطلاعات و همچنین ایجاد شرایط DoS شود.

آسیب‌پذیری نوشتن خارج از محدوده هم زمانی می‌تواند مورد بهره‌برداری قرار بگیرد که میزبان درایور گرافیکی NVIDIA را نصب کرده باشد. بهره‌برداری موفقیت‌آمیز این آسیب‌پذیری به مهاجم اجازه اجرای کد روی سیستم میزبان را می‌دهد.

محصولات آسیب‌پذیر هم موارد زیر می‌باشد:

VMware vSphere ESXi (ESXi)
VMware Workstation Pro / Player (Workstation)
VMware Fusion Pro / Fusion (Fusion)

برای بهره‌برداری موفق از این دو آسیب‌پذیری و دسترسی پیدا کردن به ماشین مجازی، باید ویژگی 3D graphics فعال باشد که این ویژگی به صورت پیش‌فرض در دو محصول Workstation Pro و Fusion Pro فعال است.

به کاربران توصیه می‌شود که وصله مربوط به محصول VMware خود را بلافاصله اعمال کنند.

‫ بررسی حملات CLDAP AMPLIFICATION و راههای مقابله با آن

در روزهای گذشته سوءاستفاده مهاجمین از ضعف ذاتی پروتکل CLDAP#(پورت 389/UDP) جهت ایجاد حملات DDoS‌ از نوع بازتابی/تقویتی (Amplification/Reflection) شدت گرفته است. این موضوع در گزارشات واصله مراکز CERTسایر کشورها نیز مشاهده شده است. به منظور پیشگیری از سوءاستفاده از سرورها و منابع شبکه خود لازم است نسبت به مسدودسازی دسترسی به سرویس­های LDAPو CLDAP(389 UCP/TCP) از طریق اینترنت اقدام فرمایید. این نقص امنیتی در کشور، در سرویس­ دهنده های Active Directoryسیستم عامل ویندوز بیشتر رایج است.

توضیحات بیشتر در گزارش پیوست جهت بهره برداری در دسترس است.

وصله آسیب‌پذیری در محصولات اینتل که منجر به ارتقای سطح دسترسی و حملات منع سرویس می‌شود.

شرکت اینتل در یک به‌روزرسانی امنیتی، یک آسیب‌پذیری در محصولاتش را رفع کرد.

طبق این گزارش یک آسیب‌پذیری خطرناک در Intel Processor Diagnostic کشف شده است که این آسیب‌پذیری امکان ارتقای سطح دسترسی را از طریق نرم‌افزار می‌دهد و دارای شناسه CVE-2019-11133می‌باشد. این آسیب‌پذیری بر روی نسخه‌های قبل از 4.1.2.24این ابزار وجود دارد و با توجه به کنترل دسترسی نامناسب در این محصول، به مهاجم اجازه اجرای حملات منع سرویس و سرقت اطلاعات حساس را می‌دهد.

به کاربرانی که ابزار Intel Processor Diagnosticرا بر روی سیستم عامل خود کشف نموده‌اند توصیه می‌شود که این ابزار را به نسخه‌های 4.1.2.24یا بالاتر به‌روزرسانی نمایند.

به‌روزرسانی ماه ژوئیه‌ی اندروید و رفع 9 آسیب‌پذیری بحرانی

شرکت گوگل وصله‌هایی برای سیستم‌عامل اندروید منتشر کرد تا به‌طور کلی، 33 آسیب‌پذیری که شامل 9 آسیب‌پذیری بحرانی است، رفع کند.

این آسیب‌پذیری‌ها بر روی اجزای مختلف اندروید ازجمله سیستم‌عامل اندروید، چارچوب، کتابخانه، چارچوب رسانه‌ای و همچنین مؤلفه‌های کوالکام تأثیر می‌گذارند.

سه مورد از آسیب‌پذیری‌های بحرانی این ماه، در چارچوب رسانه‌ی اندروید قرار دارند که به یک مهاجم اجازه می‌دهند تا از راه دور و با استفاده از یک فایل خاص طراحی‌شده، کد دلخواه را در چارچوب یک فرایند خاص، اجرا کند.

از میان شش آسیب‌پذیری بحرانی دیگر، یکی از آن‌ها بر روی سیستم اندروید تأثیرمی‌گذارد.

دو آسیب‌پذیری بحرانی دیگر در مؤلفه‌های "DSP-Services" و "Kernel" و سه مورد در مؤلفه‌ی متن بسته‌‌ی کوالکام وجود دارند.

یک خطای دارای شدت بالا نیز در کتابخانه‌ی اندروید وجود دارد که می‌تواند به مهاجم، اجازه‌ی اجرای کد از راه دور دهد.

علاوه‌براین، یک خطای شدید در چارچوب اندروید وجود دارد که می‌تواند به یک برنامه‌ی مخرب نصب‌شده، اجازه‌ی دورزدن الزامات تعامل کاربر را بدهد تا بتواند به مجوز‌های اضافی دسترسی پیدا کند.

برای دریافت کلیک نمایید

‫ انتشار به‌روزرسانی ماه جولای سال 2019 ADOBE

 Adobe به‌روزرسانی‌های امنیتی ماه جولای سال 2019 خود را جهت رفع آسیب‌پذیری‌های نرم‌افزارهای Bridge CC، Experience ManagerوDreamweaverمنتشر ساخته است.

هیچ یک از آسیب‌پذیری هایی که در این ماه توسط Adobeبرطرف شده‌اند، از نظر شدت، بحرانی نیست.

عمده‌ی آسیب‌پذیری‌های رفع‌شده در این به‌روزرسانی نسبتاً کوچک، به Adobe Experience Managerمربوط می‌شوند. این به‌روزرسانی، برای یک آسیب‌پذیری اسکریپت‌نویسی متقابل منعکس (Reflected Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7955و از نظر شدت «متوسط»، یک آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stores Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7954و از نظر شدت «مهم» و یک آسیب‌پذیری درخواست جعلی متقابل (Cross-Site Forgery Request) با شناسه‌ی ردیابی CVE-2019-7953و از نظر شدت «مهم» را که سوءاستفاده از همه‌ی آن‌ها می‌تواند منجر به افشای اطلاعات حساس شود، وصله منتشر کرده است.

این آسیب‌پذیری‌ها، نسخه‌های 6.0، 6.1، 6.2، 6.3از نرم‌افزار Adobe Experience Managerدر تمامی بسترها را تحت‌تأثیر قرار می‌دهند.

همچنین Adobeبرای یک آسیب‌پذیری با شدت «متوسط» موجود در Direct Download Installerنرم‌افزار Adobe DreamWeaver، وصله منتشر کرده است. این آسیب‌پذیری با شناسه‌ی CVE-2019-7956، یک نقص امنیتی افزایش امتیاز است که به بارگذاری ناامن کتابخانه مربوط می‌شود و می‌تواند برای انجام عملیات ربودن DLLمورد استفاده قرار گیرد. این آسیب‌پذیری تمامی نسخه‌های منتشرشده در سال 2018 و 2019 در بستر ویندوز را تحت‌تأثیر قرار می‌دهد.

علاوه‌براین، یک نقص امنیتی مهم خواندن خارج از محدوده (read out of bounds)با شناسه‌ی CVE-2019-7963در نرم‌افزار Adobe Bridge CCنیز در به‌روزرسانی امنیتی ماه جولای سال 2019 Adobeوصله شده است. این آسیب‌پذیری با شناسه‌ی ردیابی CVE-2019-7963، نسخه‌های 9.0.2و پیش از آن را در هر دو بستر ویندوز و macOSتحت‌تأثیر قرار می‌دهد و سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات شود.

به کاربران توصیه می‌شود به منظور حفظ خود در برابر سوءاستفاده‌های بالقوه از این آسیب‌پذیری‌ها، مجوز به‌روزرسانی خودکار نرم‌افزارهای خود را فعال نمایند و آن‌ها را به آخرین نسخه‌ی موجود به‌روزرسانی کنند.

‫ سوءاستفاده‌ی باج‌افزار SODIN از یک نقص افزایش امتیاز ویندوز

به تازگی باج افزار جدیدی به نام  SodinoKibi   (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیب‌پذیری پیش از وصله‌شدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ی امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده است.
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آن‌ها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ی باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ی آن‌ها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه می‌دهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ی این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.
Sodin به عنوان یک باج‌افزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.

۲ روش حذف کامل ویروس New Folder.exe از فلش و کامپیوتر

Newfolder.exe یکی از خطرناک ترین ویروس هایی است که باعث مخفی شدن فایلها روی فلش و ویندوز می شود و بعضی از عملکرد ویندوز مثل Task manager ، رجیستری  و Folder Options را مختل می کند.این ویروس یک فایل exe. می سازد که مانند آینه ای برای فایلهای شما است و نیمی از فضای فلش و سیستم شما را اشغال میکند. هم چنین باعث عوامل دیگری می شود که به سیستم شما آسیب می رساند که کاهش سرعت و پایین آمدن کارایی سیستم را نیز به دنبال دارد. در ادامه نحوه پاک کردن ویروس new folder از فلش و ویندوز را به دو روش آموزش میدهیم.

روش اول حذف ویروس Newfolder.Exe از فلش و ویندوز

در منو استارت عبارت cmd را تایپ کنید و اینتر را بزنید تا صفحه CMD باز شود.

عبارتهای زیر را خط به خط وارد کنید و به صورت مقدماتی ویروس را حذف کنید.

taskkill /f /t /im “New Folder.exe”
taskkill /f /t /im “SCVVHSOT.exe”
taskkill /f /t /im “SCVHSOT.exe”
taskkill /f /t /im “scvhosts.exe”
taskkill /f /t /im “hinhem.scr”
taskkill /f /t /im “blastclnnn.exe”

یکی از تاثیرات این ویروس غیر فعال کردن Task Manager و Regedit است،بنابراین لازم است که پس از حذف ویروس آنها را دوباره فعال کنید.ب رای این کار عبارات زیر را یکی یکی در cmd وارد کنید.

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

گزینه View Hidden Files را فعال کنید. برای این را در منو استارت، کنترل پنل را انتخاب کنید.به قسمت Appearance amd Personalization بروید و سپس Folder Options را انتخاب کنید.View Tabرا انتخاب کنید و سپس Advanced Setting و در اخر هم Show Hidden Files,Folders and Drives را انتخاب کرده و OK کنید.

موارد زیر را نیز با ورود به آدرس های مشخص شده در درایو C برای حذف کامل ویروس New folder طی و سپس حذف کنید.

C:\WINDOWS\SCVVHSOT.exe
C:\WINDOWS\SCVHSOT.exe
C:\WINDOWS\hinhem.scr
C:\WINDOWS\system32\SCVHSOT.exe
C:\WINDOWS\system32\blastclnnn.exe
C:\WINDOWS\system32\autorun.ini
C:\Documents and Settings\All Users\Documents\SCVHSOT.exe

روش دوم : قویترین نرم افزار پاکسازی و از بین بردن ویروس New folder

اگر می خواهید با استفاده از برنامه برای حذف ویروس exe از فلش اقدام کنید ، برنامه های زیادی برای این کار وجود دارد که یکی از بهترین آنها برنامهNewfolder Removal Tool است.

این برنامه رایگان و استفاده از آن بسیار آسان است.

پس از دانلود برنامه را اجرا کنید ، سپس بر روی Scan کلیک تا درایو های سیستم و فلش درایو برای فایل های آلوده ویروس نیو فولدر اسکن شوند ، اینکار ممکن است چند دقیقه زمان ببرد.

پس از اسکن این برنامه تمامی فایلهای آلوده به ویروس New folder.exe را نشان میدهد که برای حذف آنها باید روی Next کلیک کنید. پس از طی کردن مراحل مورد نظر و پاک شدن فایل های آلوده ، سیستم را ریستارت کنید تا ویروس نیوفولدر به طور کامل از سیستم شما حذف شود.