چاپ کردن این صفحه

باج‌افزار Locky هنوز هم کاربران را با جاوا اسکریپت به دام می‌اندازد، حملاتی موفق!

04 تیر 1395
نویسنده :  

باج‌افزار Locky یکی از خانواده‌های باج‌افزاری رایج است که کاربران بسیاری را در سرتاسر دنیا به دام می‌اندازد. این باج‌افزار سازوکار توزیع خود را ارتقاء داده و اکنون از طریق پرونده‌های جاوا اسکریپت پیوست شده به هرزنامه‌ها توزیع می‌شود.

 

چند ماه است که این باج‌‌افزار از پیوست‌های جاوا اسکریپت برای انجام اهدافش استفاده می‌کند، اما نه‌تنها خود پرونده‌ی باینریِ Locky بلکه این پرونده‌های مخرب نیز کاربران را به دام سامانه‌های آلوده می‌اندازند. طرز کار این باج‌افزار زمانی تغییر کرد که هفته گذشته موج جدیدی از رایانامه‌های مخرب مستقیماً حاوی باج‌افزار Locky بودند.

 

طبق گزارش محققان CYREN، هرزنامه‌ها در این عملیات از عنوان Invoice (صورت‌حساب) استفاده کرده‌‌اند که برای توزیع بدافزارها بسیار مناسب است. علاوه بر این، محققان متوجه شدند در این عملیات نیز از فرمت‌هایی برای نام‌گذاری پرونده‌های پیوست شده استفاده ‌شده که در حملات Locky پیشین نیز مورد استفاده بوده‌‌‌اند.

آنچه در رابطه با پرونده‌ها تغییر کرده است، اندازه پرونده ZIP. است که در مقایسه با پیوست‌های مخرب حاوی باج‌افزار Locky قبلی، به بیش از KB ۲۵۰ رسیده است. اگرچه همانند قبل، آرشیو ZIP. حاوی پرونده جاوا اسکریپتی است که از همان مبهم‌سازی کد قبلی استفاده می‌کند.

محققان CYREN گفتند: «بارگذاری جاوا اسکریپت درون یک ویرایش‌گر نیز نشان‌دهنده استفاده از گونه‌های متعدد حاوی رشته‌هایی است که زمان ساخت رشته‌های مورد نیاز مثل نام‌ها و روش‌های ActiveXObject به هم می‌پیوندند. حتی رمزنگاری دودویی معمول نیز در دسته این نوع باج‌افزار قرار می‌گیرد».

 

برخلاف گونه‌های قبلی، در این عملیات مجموعه‌‌ بزرگی از گزینه‌های مرتب به‌هم‌ پیوسته مشاهده‌ شده است. این گونه‌های به‌هم‌ پیوسته جایی قرار دارند که پرونده‌ی دودوییِ باج‌افزار Locky رمزنگاری‌شده ذخیره‌ شده است. پیش‌ از این که این باج‌افزار اجرا شود، این پرونده‌ رمزنگاری و روی دیسک ذخیره می‌شود.

دیگر نویسندگان بدافزارها مدت‌ زمان بسیاری است که برنامه‌های مخربشان را درون اسکریپت‌ها جایگذاری می‌کنند، بنابراین خیلی عجیب نیست که Locky نیز از این روش استفاده کرده باشد. اگرچه پیش ‌از این مشاهده ‌شده که این باج‌افزار ترجیح می‌دهد از ماکروهای مخرب در اسناد آفیس استفاده کند که از طریق هرزنامه‌های تقویت ‌شده با بات‌نت Necrus توزیع می‌شوند. این باج‌افزار همچنین مدتی پیش شروع به استفاده از جاوا اسکریپت تنها برای فریب کاربران کرد و باز هم از کیت بهره‌بردار Nuclear برای توزیع خود استفاده می‌کند.

 

رمزگشایی این پرونده در مصرف CPU توسط wscript.exe قابل تشخیص است. پس از رمزگشایی، پرونده قابل ‌اجرا در مسیر Temp با یک نام کدگذاری شده تصادفی در جاوا اسکریپت ذخیره می‌شود. این باج‌افزار سپس با یک شناسه 321 اجرا می‌شود.

این‌گونه باج‌افزاری Locky پرونده‌های رمزنگاری‌شده را با پسوند zepto. نام‌گذاری می‌کند. این‌گونه پیش ‌از این یک نسخه باج‌افزاری جداگانه در نظر گرفته می‌شد. طبق گفته محققان CYREN، نویسندگان این باج‌افزار تنها تغییراتی در کد باج‌افزار ایجاد کرده‌اند تا بتوانند از پسوند پرونده جدید استفاده کنند.

 

به‌محض اینکه فرآیند رمزنگاری انجام شد، Locky عکس پس‌زمینه دسکتاپ را با متن درخواست باج عوض می‌کند و صفحه دستورالعمل پرداخت باج که قبلاً روی دسکتاپ کاربر قرار می‌گرفت را باز می‌کند. لینک‌های Tor داده‌ شده، قربانی را مستقیماً به صفحه رمزگشای Locky هدایت می‌کند.

محققان در پایان افزودند: «مانند همیشه، به کاربران توصیه می‌کنیم که اگر می‌خواهند از چنین حملاتی در امان باشند، از باز کردن هرگونه پرونده‌‌ی پیوست شده از منابع نامعتبر خودداری کنند. شرکت‌ها با این کار نیز می‌توانند از سازمانشان دفاع کرده و بازده اقتصادی مجرمان سایبری را کاهش دهند».

6236 تعداد بازدید
مدیر سایت

داود بریهی

آخرین ها از  مدیر سایت