باج‌افزار CTB-Locker و استفاده از WinRAR برای رمزنگاری

دنیای باج‌افزاری از اوایل امسال مملو از نمونه‌های خطرناک بسیاری بوده است که در این فهرست طولانی تقلیدکننده‌ها و جدیداً بدافزارهای جاعل نیز دیده می‌شود.

با اینکه عجیب به نظر می‌رسد که یک باج‌افزار سعی در پیروی و تقلید از باج‌افزار دیگری داشته باشد، اما CTB-Faker که به‌تازگی کشف شده و نه تنها ادعا می‌کند CTB-Locker معروف حال حاضر است، بلکه در واقع نشان می‌دهد این امر ممکن است. این باج‌افزار جدید شبیه به هیچ‌کدام از نمونه‌های مشاهده‌شده قبلی نیست اما همانند بقیه سعی در به سرقت بردن پول از قربانیان دارد.

با اینکه در متن درخواست باج از جانب CTB-Faker نوشته‌شده که CTB-Locker پرونده‌ها را رمزنگاری کرده، اما این ادعا واقعیت ندارد. CTB-Faker به‌جای تزریق باج‌افزار به explorer.exe تا با روشن کردن رایانه باج‌افزار نیز راه‌اندازی شود و شروع به رمزنگاری پرونده‌ها با استفاده از این آلودگی کند (همانند کاری که CTB-Locker انجام می‌دهد) این باج‌افزار از اسکریپت‌های مختلفی استفاده می‌کند و از WinRAR برای رمزنگاری بهره می‌برد.

طبق گفته محققان Check Point، این خانواده باج‌افزاری جدید از WinRAR برای رمزنگاری استفاده میکند زیرا اجرای آن آسان است و این برنامه شامل گزینه محافظت از کلمه عبوری است که به بدافزار برای رسیدن به هدفش کمک می‌کند. علاوه بر این، برنامه اصلی و قانونی شامل گزینه‌ای برای حذف پرونده‌های اصلی پس از سوءاستفاده و رمزنگاری شدن است.

هنگامی‌که باج‌افزار سامانهای را آلوده کرد، برای راه‌اندازی به دخالت کاربر نیاز دارد و پس‌ از اینکه آن را راه‌اندازی کرد نسخه دیگری از خودش تهیه می‌کند و درخواست دسترسی به امتیاز ویژه مدیر می‌کند. باج‌افزار پس‌ از اینکه به این امتیاز ویژه دسترسی یافت، چهار نسخه wscript.exe با اسکریپت‌های vbs مختلف ساخته ‌شده توسط CTB-Faker را راه‌اندازی می‌کند.

بررسی دقیق‌تر این بدافزار نشان می‌دهد که این بدافزار فرمت پرونده‌های آلوده‌شده را به .zip تغییر می‌دهد و تمامی پرونده‌ها را پس از رمزنگاری حذف و winRAR را در پس‌زمینه راه‌اندازی می‌کند. این باج‌افزار گزینه‌هایی هم برای تنظیم سطح آلودگی، تنظیم مقصد پرونده‌های رمزنگاری‌شده و خاموش کردن رایانه پس از ذخیره پرونده‌های درخواستی دارد.

محققان حفره بزرگی در این باج‌افزار نیز پیدا کردند: از p۴w۱q۳x۵y۸z برای تنظیم کلمه ‌عبور برای آرشیوهای تازه‌ساخت و تبدیل به p۴w۱q۳x۵y۸z استفاده می‌شود. اصولاً این کلمه ‌عبور باعث رمزگشایی رایگان پرونده‌ها می‌شود در حالی‌که بدافزار نیز متن درخواست باج را ارسال می‌کند که در آن ۵۰ دلار می‌‌خواهد و ادعا می‌کند که CTB-Locker پرونده‌های کاربر را با استفاده از SHA-۵۱۲ و RSA-۴۰۹۶ رمزنگاری کرده است.

طبق گفته محققان، باج‌افزار هیچ فعالیت شبکه‌ای ندارد یعنی کلمه عبوری با کارگزاری خارجی تبادل نشده است و این به این معنی است که کلید p۴w۱q۳x۵y۸z مذکور تنها برای یک رمزنگاری استفاده می‌شود.

طبق گزارش BleepingComputer، این باج‌افزار از دو آدرس بیت کوینی در متن درخواست باج استفاده می‌کند، اما هنگام بررسی تنها یکی از آن‌ها فعال بوده است. مجرمان سایبری پشت این باج‌افزار از دو رایانامه برای ارسال کلمه عبور پرونده‌های رمزنگاری‌شده استفاده می‌کنند: help(at)openmailbox.org و miley(at)openmailbox.org.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap