اطلاعیه پادویش درباره بدافزار جدید Elementor

threat

پیرو اطلاعیه منتشر شده از سوی مرکز مدیریت راهبردی افتا مبنی بر شناسایی بدافزار جدید Elementor، به اطلاع می‌رساند که با توجه به شباهت بالای عملکرد این بدافزار به Dilemma، این مجموعه نیز با همان نام قبلی توسط پادویش شناسایی می‌شود(لینک خبر افتا).

به گزارش آزمایشگاه تحلیل بدافزار پادویش، علاوه بر ویژگی‌های مخرب بدافزار Dilemma، بدافزار جدید Elementor با تغییراتی جزئی همراه بوده که شامل موارد زیر است:

  • استفاده از فایلی با فرمت dll برای wipe فایل‌ها
  • اضافه شدن ارگومان nolock- و حذف آرگومان‌های config- و shadows-
  • تغییر فایل‌های استثنا شده در ‪‫آرگومان wipe-all-
  • تغییر ‫پسوند فایل‌های docx به foold، فایل‌های xlsx به foolx، فایل‌های doc به fooldc و فایل‌های xls به foolxc

لازم به ذکر است که گزارش تحلیلی بدافزار موسوم به Dilemma که بخشی از مجموعه ابزارهای هک و نفوذ گروه APT-PS می‌باشد، پیش از این در بانک اطلاعات تهدیدات بدافزاری پادویش منتشر شده است.

کد Hash فایل نام فایل معرفی شده در گزارش افتا عنوان شناسایی پادویش
MD5: 838fe94b9899ad4ed12c29ee016ddd9a

elementor.exe

elemental.exe

HackTool.Win32.Qwipe
MD5: cb7d52303f8ca11c98015fc037c24cde Tmp936C.tmp.bat Trojan.Win32.Agent.tmp
MD5: ba09568775fcd2c3d45594a6cfe29a84 Tmp93CB.tmp.dll HackTool.Win32.Qwipe