مدتی است نسخه جدید بدافزار NRSMiner در کامپیوترهای آسیبپذیر توزیع میشود و ایران با داشتن سهم 16 درصدی در رتبه دوم آلودگی به این بدافزار استخراج ارز دیجیتالی قرار دارد.
اخیرا نسخه جدید اکسپلویت EternalBlue با سرعت زیادی در جهان گشترش پیدا کرده که بسیاری از کارشناسان امنیتی در این نسخه وجود بدافزار استخراج ارز دیجیتالی به نام NRSMiner را مشاهده کردهاند. مدتی قبل گروه دلالان سایه افشا کردند که اکسپلویت EternalBlue به عنوان یکی از ابزارهای جاسوسی امنیت ملی آمریکا شناخته میشود و هدف آن باج افزار واناکرای (WannaCry) است. همچنین این اکسپلویت، پروتکل SMB نسخه 1 که میان هکرها نسخه محبوبی شناخته میشود را مورد هدف قرار میدهد.
همچنین بخوانید:
هشدار مرکز ماهر در خصوص بدافزار استخراج ارز دیجیتالی
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) در این خصوص اعلام کرد از اواسط ماه نوامبر سال 2018 نسخه جدید بدافزار NRSMiner در جهان توزیع شده است که این بدافزار با کمک اکسپلویت EternalBlue به کامپیوترهای آسیبپذیر استخراج ارز دیجیتالی در یک شبکه محلی نفوذ میکند. این بدافزار تاکنون بیشتر در قاره آسیا گسترش یافته و پس از کشور ویتنام با 54 درصد، ایران با سهم 16 درصد در رتبه دوم آلودگی به بدافزار استخراج ارز دیجیتالی NRSMiner قرار دارد.
بدافزار NRSMiner با استفاده از دانلود ماژولهای جدید و حذف فایلهای قدیمی، خود را بهروزرسانی کرده است. این بدافزار با عملکرد چندنخی (Multithreading) میتواند قابلیتهای متفاوتی چون استخراج ارز دیجیتالی و فشردهسازی اطلاعات را انجام دهد. بدافزار NRSMiner میتواند سایر تجهیزات محلی که در دسترسش قرار دارد را اسکن کرده و اگر پورت TCP شماره 445 را پیدا کند، بلافاصله اکسپلویت EternalBlue را به روی آن اجرا میکند تا پس از اجرای موفق، روی سیستم مورد نظر در پشتی DoublePulsar را نصب کند. این بدافزار برای استخراج ارز دیجیتالی از استخراجکننده ارز رمزنگاری شده XMRig استفاده میکند. گفتنی است آن دسته از افرادی که برای جلوگیری از حملههای واناکرای بهروزرسانیهای مایکروسافت را نصب کرده باشند، از این روش آلوده نخواهند شد. توصیه میشود اگر برای نصب پچهای بهروزسانی مشکل دارید، بهتر است در اولین فرصت پروتکل SMB نسخه 1 را غیرفعال کنید.