باج‌افزار CryptXXX یادداشت باج‌خواهی و وب‌گاه پرداخت را به‌روزرسانی می‌کند!

برای دومین بار از اول ژوئن عوامل باج‌افزار CryptXXX یادداشت باج‌خواهی و وب‌گاه پرداخت Tor خود را به روز کرده‌اند؛ اما نکته مهم‌تر برای توسعه‌دهندگان تشخیص امضاء و مدیران این است که این به‌روزرسانی تغییری را در پسوند پرونده‌های رمزنگاری شده ایجاد نمی‌کند.

لارنس آبرامز در وب‌گاه BleepingComputer می‌گوید: «برای اینکه کار را برای مدیران مشکل‌تر کند، این نسخه‌ی منتشره دیگر از پسوندهای خاص برای پرونده‌های رمزنگاری‌شده استفاده نمی‌کند. اکنون یک پرونده‌ی رمزنگاری‌شده دارای همان نامی است که قبل از رمزنگاری داشت».

براد دانکن، محقق مرکز تحقیقات اینترنتی SANS می‌گوید که متوجه آخرین به‌روزرسانی CryptXXX در فعالیت پس از آلودگی شده‌ است. دانکن، تغییرات صورت گرفته را روی دستگاهی با سامانه عامل ویندوز که به‌وسیله‌ی کیت بهره‌بردار Neutrino در حمله‌ی pseudo-Darkleech آلوده شده بود؛ پیدا کرده است.

برای مثال دستورالعمل‌های جدید پرداخت، به یک وب‌گاه onion. در یک شبکه Tor اشاره می‌کند و وب‌گاه پرداخت به‌عنوان Microsoft Decrypteor نامیده می‌شود. در یکم ژوئن، به‌روزرسانی قبلی قربانی را به وب‌گاهی هدایت می‌کرد که Ultra Decryptor نام داشت.

آبرامز می‌گوید: «در این نسخه، درصورتی‌که فرایند پرداخت با مشکل مواجه شود، روشی برای ارتباط با سازندگان این باج‌افزار وجود ندارد».

دانکن درعین‌حال، تجزیه و تحلیلی را از ترافیک کیت بهره‌بردار Neutrino در آخرین آلودگی خود از ۱۹۸[.]۷۱[.]۵۴[.]۲۱۱ ارسال کرده است. او می‌گوید که این ترافیک از دامنه‌های سایه‌ای که در حملات سایر کیت‌های بهره‌بردار Neutiono همچون Angler به کار می‌روند، استفاده می‌کند. ایجاد سایه برای دامنه فرآیندی است که در آن جزئیات حساب‌های دامنه جمع‌آوری می‌شود تا بدون آگاهی مالک دامنه برخی زیردامنه‌های مخربی ایجاد شوند که به کارگزارهای مخرب مربوط می‌شوند. هرچند از زمان دستگیری‌ تعدادی از نفوذگرانی که پشت بدافزار Lurk در روسیه بوده‌اند، خبری از آن‌‌ها نیست.

دانکن می‌گوید «ترافیک بعد از آلودگی روی ۹۱[.]۲۲۰[.]۱۳۱[.]۱۴۷ در TCP روی درگاه ۴۴۳، از رمزنگاری سفارشی استفاده می‌کند که یک روش CryptXXX است و اولین بار از اوایل امسال ظاهر شده است». وی اضافه می‌کند که نسخه‌های متنی و HTML دستورالعمل‌های رمزگشایی به شکل متن ساده از طریق ترافیک بعد از آلودگی بارگیری می‌شوند. آبرامز می‌گوید که یادداشت باج‌خواهی در نسخه‌ی به‌روزرسانی شده‌ی CryptXXX به شکل README.html ،README.bmp و README.txt نام‌گذاری شده‌اند.

CryptXXX اکنون پادشاه حال حاضر باج‌افزارها است و پس از سقوط کیت بهره‌بردار Angler در اوایل ژوئن محققان می‌گویند که برای انتشار به کانال‌های توزیع Neutrino روی آورده است. این باج‌افزار اکنون قابلیت‌های متعددی را در به‌روزرسانی‌های خود اضافه کرده است که از جمله‌ی آن‌ها توانایی رمزنگاری درایوهای محلی و درایوهای متصل به دستگاه و پشتیبان‌ها و همچنین سرقت اعتبارنامه‌های قربانی را می‌توان نام برد.

تعدادی از حملات بزرگ به گسترش CryptXXX می‌پردازند که از جمله‌ی مهم‌ترین آن‌ها Pseudo-Daekleech است که تعدادی از خانواده‌های باج‌افزار را از زمان ظهور خود در ماه مارس ۲۰۱۵ منتشر کرده است. همچنین در هفته‌ی گذشته، pseudo-Darkleech نیز تغییراتی را در اسکریپت خود داده و بلوک‌های کد زیادی را در حدود ۱۵۰۰۰ نویسه عوض کرده است که به آن کمک می‌کند تا کد خود را مبهم کند. این کاراکترها موجب می‌شوند تا محققان ساده‌تر به کشف این نرم‌افزار بپردازند. اکنون مهاجمان از یک حمله‌ی مبتنی بر iframe با میزان کمی ابهام استفاده می‌کنند که سامانه‌های تشخیص مبتنی بر امضاء را دور می‌زند.

باج‌افزارها همچنان به‌عنوان یک تهدید نگران‌کننده برای مشتریان و رایانه‌های تجاری به حیات خود ادامه می‌دهند. در اواخر آوریل FBI در مورد این تهدیدات هشدار داده است و از سازمان‌ها خواسته است تا به وصله کردن مرورگرهای خود، سامانه‌های عامل و نرم‌افزارهای ثالث بپردازند. همچنین آن‌ها قربانیان را تشویق کرده‌اند که باج‌ها را نپردازند چراکه هیچ نوع تضمینی وجود ندارد که پرونده‌های آن‌ها بازیابی شود و تنها موجب می‌شود که مهاجمان برای انجام چنین حملاتی تشویق شوند.

در این‌ بین، شرکت‌های فناوری همچون کسپرسکی، سیسکو و دیگران نیز ابزارهای رمزگشایی برای برخی از باج‌افزارهای مشخص از جمله نسخه‌ی قدیمی CryptXXX ارائه کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.