باج‌افزار Locky‌ دیگر روش کار برون‌خط خود را ادامه نمی‌دهد!

۴بدافزار Locky که امسال یکی از معروف‌ترین خانواده‌های باج‌افزار بوده است، بار دیگر روش عملکرد خود را با افزودن یک پسوند جدید به پرونده‌های رمزنگاری شده تغییر داده است.
این بدافزار اولین بار در ماه فوریه خود را نشان داد. Locky‌ می‌توانست پرونده‌هایی را که بر روی شبکه به‌صورت نگاشت نشده به اشتراک گذاشته شده بودند رمزنگاری کند. این بدافزار در ابتدا پرونده‌های رمزنگاری شده را در قالب [unique_id][identifier].locky رمزنگاری می‌کرد. اوایل تابستان محققان کشف کردند که این باج‌افزار به پسوند‌های zepto. که پیش از این در پویش‌های بدافزاری مختلفی استفاده می‌شد تغییر روش داده است.

اما حالا بار دیگر این باج‌افزار روش کار خود را تغییر داده و از پسوند‌های ODIN. برای رمزنگاری پرونده‌ها استفاده می‌کند. بدین ترتیب برای قربانیان این ابهام ایجاد شده است که شاید توسط باج‌افزار جدیدی مورد حمله قرار گرفته‌اند. محقق امنیتی BleepingComputer، لاورنس آبرامز دریافته است این رمزنگاری کار باج‌افزار جدیدی با نام Odin‌ نیست بلکه همان باج‌افزار معروف Locky است که این بار از پسوند ODIN. به‌جای zepto‌. استفاده کرده است.

درست همانند گذشته، نسخه جدید این باج‌افزار نیز از طریق هرزنامه‌هایی که پرونده‌های اسکریپت را به‌عنوان پیوست دارند توزیع می‌شود. به‌محض این‌که گیرنده هرزنامه، پرونده پیوست را باز می‌کند، کد مخرب در این اسکریپت‌ها، نصب‌کننده رمزنگاری شده DLL را بارگیری کرده و سامانه قربانی را با Locky آلوده می‌کند.

پس از اجرا، باج‌افزار مذکور پرونده‌های کاربر را رمزنگاری کرده، آن‌‌ها را تغییر نام داده و پسوند ODIN. را به آن‌ها می‌افزاید. سپس این بدافزار یادداشت باج‌خواهی بر روی سامانه قرار می‌دهد تا کاربر را از حمله رخ‌داده مطلع سازد. در این نوع جدید از باج‌افزار، نام یادداشت‌های باج‌خواهی نیز به HOWDO_text.html ،_HOWDO_text.bmp_ و HOWDO_text.html_[یک عدد دورقمی]_ تغییر یافته‌اند.

اخیراً و پس از تغییر به حالت برون‌خط۱ در اواسط ماه جولای، باج‌افزار Locky بار دیگر به استفاده از کارگزار دستور و کنترل روی آورده است. تغییر رخ‌داده در ماه جولای متوقف‌سازی این باج‌افزار را برای محققان امنیتی سخت‌تر کرده بود، چرا که مسدود کردن ارتباطات دستور و کنترل دیگر تأثیر مورد نظر را نداشت.

اما حالا محققان Avira می‌گویند Locky‌ دوباره از کارگزار دستور و کنترل استفاده می‌کند. درحالی‌که شواهدی از علت این تغییر عملکرد دوباره در دست نیست، محققان Avira می‌گویند استفاده از حالت برون‌خط یک شمشیر دو لبه برای مجرمان سایبری بوده است. «از طرفی کارکرد در حالت برون‌خط اطلاعات دستور و کنترل و آدرس IP را به دست‌ نمی‌داده و بدین ترتیب شبکه Locky از دید محققان امنیتی و مراجع قانونی پنهان می‌مانده است؛ اما از طرف دیگر، این حالت موجب می‌شده مجرمان سایبری دیگر نتوانند بازخوردهای لازم را درباره میزان موثربودن پویش‌های توزیع Locky از انواع وابسته دریافت کنند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.