باج‌افزار Mamba به جای پرونده‌ها، دیسک سخت را رمزنگاری می‌کند!

۱۸۷۳درست زمانی که گمان می‌شد تکامل باج‌افزار‌ها رو به افزایش است، نوع جدیدی از باج‌افزارها کشف شده است که به‌جای رمزنگاری پرونده‌ها، دیسک سخت دستگاه را رمزنگاری می‌کند.

بر اساس گفته‌های محققان آزمایشگاه Morphus در برزیل، این بدافزار که Mamba نام دارد در کشورهای برزیل، ایالات‌متحده و هند مشاهده شده است. این بدافزار زمانی کشف شد که یکی از مشتریان Morphus در بخش انرژی از آن‌ها کمک خواسته بود تا درباره یک آلودگی تحقیق کنند. واحد اصلی این شرکت انرژی در برزیل است و شعباتی در امریکا و هند دارد.

رناتو مارینیو، یکی از محققین آزمایشگاه Morphus به وب‌گاه Threatpost گفته است که احتمالاً این بدافزار از طریق رایانامه‌های فیشینگ انتقال می‌یابد. هنگامی‌که بدافزار مذکور دستگاه را آلوده می‌سازد، Master Boot Record موجود را با MBR خاصی رونویسی و از آنجا دیسک سخت را رمزنگاری می‌کند.

مارینیو گفت: «Mamba تمام بخش‌های دیسک را رمزنگاری می‌کند. Mamba برخلاف شیوه‌های سنتی سایر باج‌افزار‌ها که پرونده‌ها را به صورت تکی رمزنگاری می‌کردند، از یک رمزنگاری سطح دیسک استفاده می‌کند.»

این بدافزار یک تهدید ویندوزی است و مانع از راه‌اندازی سامانه‌عامل رایانه‌ی آلوده بدون کلمه‌ی عبور که همان کلید رمزگشایی است می‌شود. قربانیان این باج‌افزار با یادداشتی مواجه می‌شوند که به ازای هر میزبان آلوده‌شده تقاضای یک بیت‌کوین دارد. در این یادداشت شماره شناسه‌ی رایانه بهره‌برداری شده و آدرس رایانامه‌ای مورد نیاز برای درخواست کلید رمزگشایی آمده است.

Mamba نیز همانند Petya در گروه بدافزارهایی جای می‌گیرد که رایانه را در سطح دیسک مورد هدف قرار می‌دهند. بدافزار Petya، بخش Master File Table دستگاه آلوده‌شده را رمزنگاری می‌کند. حال آن‌که Mamba از ابزار رمزنگاری دیسک متن‌باز با نام DiskCryptor برای قفل دیسک سخت بهره‌برداری‌شده استفاده می‌کند.

با ظهور Petya معادلات در خانواده‌های باج‌افزارها تغییر کرد. این باج‌افزار در ابتدا میان شرکت‌های آلمانی گسترش یافت و دفاتر منابع انسانی را مورد هدف قرار داد. رایانامه‌هایی ارسال می‌شدند که شامل پیوندی به یک پرونده Dropbox بود. این پرونده باج‌افزار را نصب می‌کرد. این بدافزار به قربانی فرآیند جعلی CHKDSK را نشان می‌داد درحالی‌که در پس‌زمینه در حال رمزنگاری Master File Table بود.

محققان به‌سرعت عملکرد داخلی Petya را بررسی کردند و با تحلیل رفتاری این باج‌افزار، توانستند کمی پس از مشاهده اولین آلودگی‌ها رمزگشای مخصوص آن را تهیه کنند. یک ماه پس از Petya، نوع دیگری مشاهده شد که پرونده نصب‌کننده‌ی جدیدی داشت. اگر نصب‌کننده نمی‌توانست Petya را بر روی دستگاه بهره‌برداری‌شده نصب کند، باج‌افزار کم دردسرتر Mischa بر روی دستگاه نصب می‌شد. Mischa باج‌افزاری به‌مراتب کم‌خطرتر است.

Petya شامل یک پرونده اجرایی است که اختیارات مدیریتی را درخواست می‌کرد. این پرونده اجرایی یک اعلان UAC را در ویندوز نمایش می‌داد. اگر قربانی درخواست داده شده را رد می‌کرد، بدافزار مذکور به جای Petya، باج‌افزار Mischa را نصب می‌کرد.

Mischa همانند سایر باج‌افزارهای مشابه رفتار می‌کند. به‌محض اینکه قربانی پیوند ارسالی در هرزنامه یا رایانامه‌ی فیشینگ را اجرا می‌کند، بدافزار پرونده‌های محلی را رمزنگاری کرده و تقاضای باج ۱.۹۳ بیت‌کوینی یا ۸۷۵ دلاری می‌کند تا پرونده‌های بهره‌برداری‌شده را بازگرداند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap