باج افزار Mallox با استراتژی جدیدی دوباره بازگشته است!

دستوراتی که توسط این اسکریپت اجرا می شود به شرح زیر است:

if not DEFINED IS_MINIMIZED set IS_MINIMIZED=1 && start “” /C /min “C:\Users\User_Name\Desktop\ransomware.bat”  && exit

این دستور چک می کند که آیا متغیر IS_MINIMIZED تعریف شده است یا نه. در صورتی که جواب شرط نادرست ارزیابی شود متغییری به همان نام تعریف کرده و در همان حال، مجددا اسکریپت فعلی را اجرا می کند و نمونه در حال اجرا را می بندد. این کار برای این است که کاربر متوجه اجرای اسکریپت نشود.

copy /y “C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe” “C:\Users\User_Name \Desktop\ransomware.bat.exe

این دستور فایل اجرایی PowerShell را به درون پوشه فعلی کپی میکند و نام آن را به نام فایل اسکریپت + .exe تغییر می دهد.

attrib +s +h

این دستور دسترسی سیستمی را به فایل کپی شده جدید تنظیم کرده و آن را مخفی نیز می کند.

C:\Users\User_Name\Desktop\ransomware.bat.exe” -wIn 1 -enC <base64_encoded content>

این دستور وظیفه اجرای محتوایی را دارد که توسط الگوریتم Base64 کد گذاری شده است که وظیفه استخراج باج افزار از BatLoader را دارد.

این اسکریپت همچنین یک فایل به نام killerrr.bat را نیز در مسیر %TEMP%  قرار میدهد که وظایفی به شرح زیر را دارد:

• بیش از 600 پروسس را با استفاده از دستور taskkill /IM می بندد.
• بیش از 200 سرویس را با دستور net stop متوقف می کند.
• با استفاده از دستور sc config Service_Name start=disabled 13 سرویس را غیرفعال می کند.
• بیشتر از 200 سرویس را نیز با دستور sc delete پاک میکند.
• و همچنین این دو مسیر را پاک می کند:

 C:\Program Files (x86)\Kingdee\K3ERP\K3Express\KDHRAPP\client\log
 C:\Program Files\Kingdee\K3ERP\K3Express\Logs