باج‌افزار ساتانا پرونده‌های کاربر و MBR را رمزنگاری می‌کند!

ساتانا Satana به‌عنوان یک خانواده باج‌افزار جدید که در هفته‌ی گذشته پدیدار شده است، برخی از عملکردهای خود را از باج‌افزارهای Petya و Mischa رونویسی کرده است که دو باج‌افزار مشاهده شده در ماه‌های گذشته هستند.

آنچه که باعث توانایی ساتانا شده است، در کنار نام شیطانی آن (ساتانا در زبان‌های رومانیایی و ایتالیایی به معنی شیطان است) این است که در دو حالت ظاهر می‌شود؛ یکی برای بازنویسی بوت اصلی رایانه‌ی آلوده (MBR) برای کنترل آن و دیگری برای رمزنگاری پرونده‌های کاربر. این بدافزار جدید آشکارا از هر دو حالت به‌صورت هم‌زمان استفاده می‌کند که به آن کمک می‌کند تا به‌صورت کامل رایانه‌ی قربانی را تخریب کند.

باج‌افزار پتیا که در ماه مارس پدیدار شد در آن زمان برای خود شهرتی به دست آورد چرا که قادر بود تا تمام درایوها را رمزنگاری کند. این بدافزار یک رمزنگاری دومرحله‌ای انجام می‌داد در ابتدا MBR رایانه را برای به دست گرفتن آن در فرایند راه‌اندازی مجدد و اطمینان از این حضور بادوام در دستگاه آلوده، دوباره‌نویسی می‌کرد و در مرحله‌ی دوم تمام دیسک سخت را پس از راه‌اندازی مجدد رمزنگاری می‌کرد.

پتیا عمدتاً در محیط‌های سازمانی و از طریق رایانامه‌هایی که به بخش منابع انسانی سازمان ارسال می‌شده است، منتشر می‌شود. در ماه می، پتیا یک به‌روزرسانی دریافت کرد و شروع به قرار دادن یک باج‌افزار دوم در درون دستگاه‌های آلوده کرد که منجر شد نتواند به‌خوبی مرحله‌ی دوم فرایند رمزنگاری را انجام دهد. این باج‌افزار که به نام میشا نام‌گذاری شد، از رمزنگاری AES برای قفل‌کردن پرونده‌های کاربر استفاده می‌کرد و به پرونده‌هایی که دارای پسوند exe. نیز بودند حمله می‌کرد، کاری که اغلب باج‌افزارها انجام نمی‌دهند.

محققان آزمایشگاه ضد بدافزار Malwarebyte می‌گویند که برخلاف ترکیب باج‌افزارهای پتیا و میشا، باج‌افزار ساتانا به ترتیب MBR را بازنویسی کرده و پرونده‌های کاربر را رمزنگاری می‌کند. باج‌افزار جدید پس از اجرا از رایانه‌ی آلوده ناپدید می‌شود هرچند که یک رونوشت از خود را در پوشه‌ی %TEMP% با یک نام تصادفی قرار می‌دهد.

هنگامی که این بدافزار برای اولین بار اجرا می‌شود موجب واکنش کنترل حساب کاربری (UAC) می‌شود که آن‌قدر به‌صورت مداوم و پی‌درپی ظاهر می‌شود تا کاربر اجازه‌ی تغییرات را در رایانه بدهد، سپس این بدافزار کد مخرب را در ابتدای دیسک می‌نویسد و داده‌های تماس را برای یک مشتری خاص در رجیستری ویندوز ذخیره می‌کند. به گفته‌ی محققان این بدافزار هر آنچه را که انجام می‌دهد اعلام می‌کند، ازجمله فرایند رمزنگاری پرونده‌ها و شامل کد اشکال‌زدایی در خود است که نشان می‌دهد ممکن است هنوز در مراحل اولیه توسعه قرار داشته باشد.

برخلاف پتیا که به نشان دادن یک اعلان BSOD می‌پردازد تا کاربر دستگاه خود را مجدداً راه‌اندازی کند، باج‌افزار ساتانا صبورانه منتظر راه‌اندازی مجدد دستگاه می‌ایستد؛ اما به‌محض اینکه دستگاه دوباره راه‌اندازی شد یک صفحه را با یک یادداشت درخواست باج نشان می‌دهد. در اولین مرحله‌ی حمله در حالت سطح پایین، تنها MBR رمزنگاری می‌شود (و در سکتور ۶ ذخیره می‌شود) اما غیرقابل تعمیر نیست و به نظر می‌رسد که می‌توان با یک پشتیبان MBR اصلی را بازیابی کرد.

این باج‌افزار پرونده‌‌های کاربر را یکی یکی رمزنگاری می‌کند (بر روی دیسک سخت و درایوهای شبکه به اشتراک گذاشته شده) و در هر کدام یک یادداشت درخواست باج قرار می‌دهد و پشتیبان‌ها را حذف می‌کند تا از تلاش‌هایی که برای بازیابی صورت می‌گیرد جلوگیری کند. همه‌ی پرونده‌های رمزنگاری شده با یک نشانی رایانامه تغییر نام پیدا می‌کنند. همچنین Malwarebyte می‌گوید که همه‌ی پرونده‌ها با یک کلید منحصربه‌فرد یکسان و با استفاده از یک الگوریتم رمزنگاری که یا بر اساس رمزگذاری قطعه‌ای و یا بر اساس XOR سفارشی است، رمزنگاری می‌شوند.

به گفته‌ی محققان نمونه‌‌ای که مورد تجزیه‌وتحلیل قرار گرفته است شامل یک نشانی مرکز کنترل و فرماندهی (C&C) توکار است و اطلاعات مربوط به قربانی را به همراه کلیدی که به‌صورت تصادفی در فرایند رمزگذاری ایجاد شده است به آن ارسال می‌کند. مشکل ساتانا این است که کلید را به‌صورت محلی ذخیره نمی‌کند، اگرچه می‌تواند در هنگامی‌که به اینترنت متصل نیست نیز فرایند رمزنگاری را انجام دهد و این بدان معنا خواهد بود که درصورتی‌که در فرایند رمزنگاری ارتباط با کارگزار کنترل و فرماندهی قطع شود کلید به‌طور دائم از دست خواهد رفت.

محققان Malwarebyte توضیح می‌دهند که نمونه‌ای که مورد تجزیه‌وتحلیل قرار گرفته است برای استفاده‌ی عمومی در نظر گرفته نشده است؛ هم به دلیل مشکلاتی که با کد وجود دارد و هم به دلیل اینکه نشانی بیت‌کوینی که در یادداشت باج‌خواهی وجود دارد، کار نمی‌کند. علاوه بر این آن‌ها می‌گویند که کد حمله‌ی سطح پایین تکمیل نشده است، اما به نظر می‌رسد که نویسنده روی آن تمرکز کرده است و نسخه‌های آتی بدافزار ممکن است بهبودهایی را در این زمینه ارائه کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap