باج‌افزار RAA کاملاً بر اساس جاوا اسکریپت نوشته شده است!

مشاهده کرده‌ایم که امسال باج‌افزارها به اشکال زیادی ظاهر شده‌اند؛ اما محققان این هفته ادعا کرده‌اند که یک رشته‌ی جدید از باج‌افزار را یافته‌اند که بر خلاف گذشته کاملاً بر اساس جاو اسکریپت نوشته شده است.
این باج‌افزار که به شکل RAA نامگذاری شده است، به گفته‌ی لورنس آبرامس به وسیله‌ی ضمیمه‌هایی که خود را به عنوان پرونده‎های doc. ورد معرفی می‌کنند منتشر می‌شود. آبرامس اواخر شب دوشنبه در وب‌گاه خود BleepingCopmuter.com‌ در مورد این بدافزار مطالبی را نوشته است.

باج‌افزار RAA که در ابتدا به وسیله‌ی دو محقق با شناسه‌های [email protected] و [email protected] کشف شد، پرونده‎ها را با استفاده از کدهای CryptoJS رمزنگاری می‌کند. کتابخانه CryptoJS کتابخانه‌ای است که به راحتی قابل استفاده است و می‌تواند الگوریتم‌هایی نظیر AES ،DES و نظایر آن را مدیریت کند. در این مورد، باج‌افزار RAA دستگاه‌های قربانی‌ها را بررسی می‌کند و پرونده‎های انتخاب شده را با الگوریتم AES-۲۵۶ رمزنگاری می‌کند.
به محض اینکه کسی پرونده را باز کند، این باج‌افزار پرونده‎ها را روی دستگاه قربانی رمزنگاری کرده و پس از آن از وی درخواست باج می‌کند که مبلغ آن تقریباً ۲۵۰ دلار آمریکا است. اگر این کافی نباشد، باج‌افزار یک نسخه از بدافزار Pony را که یک سرقت‌کننده‌ی مشهور گذرواژه است و در پرونده جاوا اسکریپت به عنوان یک رشته‌ی رمزنگاری شده روی همان دستگاه قرار داده شده است، نصب می‌کند.

آبرامز ادعا کرده است که این اولین بار است که محققان حملاتی را مشاهده کرده‌اند که از CryptoJS در باج‌افزار استفاده می‌کند، اما همین مورد می‌تواند نشانه‌ای از ظهور موارد بعدی باشد. آبرامز این سه‌شنبه به Thereatpost گفته است: ‌«حملاتی که بر پایه‌ی جاوا اسکریپت هستند، قطعاً در آینده محبوب‌تر خواهند شد اما بیشتر باج‌افزارها هنوز از کدهای کامپایل شده استفاده می‌کنند. من فکر می‌کنم که ما در آینده تعداد زیادی از نصب‌کننده‌ها را خواهیم دید که بر پایه‌ی جاوا اسکریپت نوشته‌ شده‌اند، چرا که می‌توان آن‌ها را آسان‌تر نوشته و اشکال‌زدایی کرد. همچنین با مبهم کردن آن‌ها، نرم‌افزارهای ضد بدافزار بسیار سخت‌تر می‌توانند آن‌ها را مورد تجزیه و تحلیل قرار دهند. برای مثال، تا به امروز این پرونده جاوا اسکریپت تنها نرخ کشفی معادل ۶.۴۴ درصد در رتبه‌بندی سامانه‌ی VirusTotal داشته است».

همچون بسیاری دیگر از گونه‌های باج‌افزارها، RAA یک پسوند به شکل locked. را به آخر نام پرونده‌ها اضافه می‌کند. در حالی‎که این باج‌افزار از برخی پرونده‎های پوشه‌های Program files ،Windows files ،AppData و Microsoft files چشم‌پوشی می‌کند، اما به پرونده‎های تصویری، اسناد ورد، اکسل و فوتوشاپ به علاوه‌ی فرمت‎های ذخیره‌سازی نظیر zip و rar. حمله می‌کند.
یادداشت ارائه شده از سوی RAA به قربانیان می‌گوید که مبلغ ۰.۳۹ بیت‌کوین معادل ۲۵۰ دلار را به نشانی بیت‌کوین مشخصی ارسال کنند. این یادداشت تصریح می‌کند که تنها پس از اینکه این کار انجام شد، قربانیان می‌توانند کلید مربوطه را دریافت کرده و پرونده‎های خود را با آن رمزگشایی کنند.

مشخص نیست که باج‌افزار RAA در آینده‌ی نزدیک تا چه حد موفق خواهد شد. به گفته‌ی آبرامز به نظر می‌رسد که حدود ۶۵ قربانی برای باز کردن پرونده جاوا اسکریپت در ظرف چند روز گذشته فریب خورده‌اند، اما کارگزار کنترل و فرماندهی مرتبط با این باج‌افزار تا کنون خاموش بوده است. اوایل امسال، فابیان وسار یکی از محققان شرکت Emisoft یک نوع مشابه از باج‌افزار را کشف کرده بود که به وسیله‌ی Node.js ایجاد شده است و به شکل یک پرونده اجرایی بسته‌بندی شده، اما این اولین بار است که یک باج‌افزار دیده شده که تنها با یک پرونده استاندارد JS عرضه شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.