بدافزار Nemucod به اشاعه‌‌ی باج‌افزار Teslacrypt در سراسر دنیا می‌پردازد

گاهی اوقات برخی از بدافزارها در برخی از کشورها و مناطق در روزهای اول انتشار خود شیوع فراوانی پیدا می‌کنند. در این موارد کاربران در صورتی‌که از سامانه‌های خود به درستی محافظت نکنند به شدت در معرض آسیب‌پذیری قرار خواهند گرفت.
ما یکی از این ماجراها را در هفته‌ی گذشته مشاهده کردیم و آن هنگامی بود که یک تروجان به نام Nemucod کشف کردیم که به شدت در حال شیوع بود. این تروجان خود یک بدافزار دیگر را نیز از اینترنت بارگزاری می‌کرد. میزان شناسایی این بدافزار در برخی از کشورها بسیار بالا بود اگرچه در همه‌ی دنیا نیز مشاهده شد و نشان داد که این بدافزار تنها معطوف به نقطه خاصی از دنیا و یک کشور به‌خصوص نیست بلکه تلاش می‌کند تا کاربران را در همه‌ی نقاط دنیا آلوده سازد.

شما یک رایانامه‌ (آلوده) دریافت کرده‌اید
در اینجا نیز به مانند دیگر بدافزارهایی که ما اخیراً بررسی کرده‌ایم نفوذگر از رایانامه به عنوان عامل شیوع این بدافزار استفاده می‌کند. این رایانامه که ادعا می‌کند دربردارنده‌ی یک صورت‌حساب است؛ تلاش می‌کند تا کاربران را به باز کردن یک پرونده‌ی فشرده که در ضمیمه‌ی این رایانامه قرار داده شده است، تشویق کند. فرستنده‌ی این رایانامه معمولاً یک کاربر دیگر است که خود پیش از این به همین شکل گرفتار این بدافزار شده است، به همین ترتیب این بدافزار به گسترش خود در میان قربانیان احتمالی می‌پردازد.
۴۱_۸_۱

با باز کردن یکی از پرونده‌هایی که ضمیمه‌ی این رایانامه هستند، مشاهده می‌کنیم که این مورد با سایر مواردی که تحلیل کرده‌ایم متفاوت است. این پرونده‌ی‌ فشرده به جای این‌که شامل یک پرونده‌ی‌ اجرایی .exe باشد شامل یک پرونده‌‌ی جاوااسکریپت در درون خود است. این فن احتمالاً برای این به کار گرفته شده است تا مهاجمان بتوانند آن را از چشمان ضدبدافزارهایی که رایانامه‌ها را بررسی می‌کنند دور نگه داشته و قربانیان بیشتری را دچار کند.

۴۱_۸_۲

استفاده از جاوا اسکریپت برای بارگذاری محتوای مخرب
در هر صورت، یک پرونده‌‌ی جاوا اسکریپت، پرونده‌ای است که کاربر می‌تواند آن را اجرا کند و همچون پرونده‌های اجرایی .exe خطرناک است. اگر ما نگاهی به کد پرونده‌ بیاندازیم نکات جالب‌ توجهی را پیدا خواهیم کرد. در ابتدا این‌که بسیاری از متغیرهای به کار رفته در این کد از نام‌های تصادفی استفاده می‌کنند. همچنین دو آرایه در این کد است که می‌تواند نشانی‌های آی‌پی و صفحات وب را که به وسیله‌ی مجرمان منتشر کننده‌ی این بدافزار استفاده می‌شوند، مخفی کند.

۴۱_۸_۳
در واقع ما دو دامنه را که برای گسترش این نوع جدید باج‌افزار Teslacrypt (که ضدبدافزار ESET آن را به عنوان Win۳۲/Filecoder.EM شناسایی می‌کند) مورد استفاده قرار می‌گیرند شناسایی کردیم. یکی از این دامنه‌ها به یک وب‌گاه‌ آلوده‌‌شده‌ی آلمانی تعلق داشت و دیگری همان‌طور که دیده می‌شود، به تازگی ایجاد شده بود.
۴۱_۸_۴

در واقع این صفحه‌ی وب شامل هیچ چیز نبود؛ اما هشداری اعلام می‌داشت: « این صفحه‌ی وب به این دلیل خالی است که تازه ایجاد شده است.» ما نمی‌توانیم قطعاً اعلام کنیم این صفحه‌ی وب تنها برای این به وجود آمده است که این تهدید را گسترش دهد اما دست کم ثبت تاریخ این دامنه‌ مشکوک به نظر می‌رسد.
۴۱_۸_۵

آلودگی کاربران به وسیله‌ی Teslacrypt
همچنان‌که گفته شد یکی از بدافزارهایی که از این وب‌گاه‌‌های آلوده و در خطر بارگیری می‌شود نوعی از باج‌افزار Teslacrypt است. این پرونده‌ی‌ آلوده که اعدادی را به عنوان اسم یدک می‌کشد یک پرونده‌‌ی اجرایی است.
۴۱_۸_۶

هنگامی که این پرونده‌ی‌ اجرایی، اجرا می‌شود، این باج‌افزار شروع به رمزگذاری انواعی از پرونده‌ها از سامانه‌ی قربانی می‌کند که معمولاً شامل پرونده‌های تصاویر، ویدئوها، پرونده‌های آفیس و … هستند و آن‌گاه این بدافزار پس از اتمام کار خود در صفحه‌ی مرورگر صفحه‌ی زیر را به نمایش می‌گذارد.
این الگو از سوی سایر باج‌افزارهای مشابه نیز استفاده می‌شود و مضمون آن اینست که به کاربر بگوید اگر می‌خواهد به پرونده‌‌های خود دوباره دسترسی پیدا کند باید به آن‌ها باج بدهد.
۴۱_۸_۷

علاوه بر این در هر کدام از پوشه‌ها نیز یک پرونده‌‌ی متنی TXT قرار داده می‌شود که پرونده‌‌های رمزگذاری شده را نشان می‌دهد. در این پرونده‌‌ی متنی ما مطالبی مشابه آنچه در پرونده‌ی‌ HTML دیده‌ایم با برخی از تناقضات مشاهده می‌کنیم. برای مثال در پرونده‌ی‌ HTML گفته شده است که این باج‌افزار از سامانه‌ی رمزگذاری RSA-۲۰۴۸ استفاده می‌کند در حالی‌که در پرونده‌‌ی متنی می‌گوید سامانه‌ی رمزگذاری آن از نوع RSA-۴۰۹۶ است.
۴۱_۸_۸

این موضوع را می‌توان با مقایسه با الگوهای دیگر خانواده‌های این باج‌افزار مانند Cryptowall شرح داد. به هر حال بدون توجه به الگوریتم رمزگشایی‌شده توسط این باج‌افزار، در اغلب موارد پرونده‌‌های رمزگذاری شده نمی‌توانند به حالت اولیه خود باز گردند و کاربران دسترسی به اطلاعات خود را از دست خواهند داد.

تأثیر Nemucod در سطح جهانی
نرخ شیوع این بدافزار بسار جالب توجه است چراکه میزان شناسایی آن در نقاط مختلف بسیار بالا بوده است.
ما گسترش این بدافزار را تا میزان ده درصد در سطح جهان دیدیم، اما تأثیر آن در کشورهای خاصی بیشتر بوده است. در اروپا نرخ گسترش این بدافزار در برخی کشورها بالای بیست درصد بوده است: برای مثال در در اسپانیا ۲۳ درصد در ایتالیا ۳۰ درصد.
در مناطق دیگر مانند قاره‌ی آمریکا میزان گسترش آن پایین‌تر بوده اما با این وجود بالاتر از حد معمول ده درصد است (حدود ۱۴ درصد در آرژانتین، ۱۵ درصد در آمریکا و کانادا).
۴۱_۸_۹

اما بیشترین میزان کشف شناخته‌شده توسط این بدافزار در کشور ژاپن بوده است. در طول بیش از دو روز بدافزار Nemucod توانسته است به نرخ کشف ۷۵ درصد در این کشور برسد.
ما هنوز باید بررسی کنیم که چرا میزان تشخیص این بدافزار در کشور ژاپن تا این حد بالا بوده است اما مطمئنا این موضوعی است که مدت‌ها از آن غافل بوده‌ایم.
۴۱_۸_۱۰

نتیجه‌گیری
حملات این بدافزار جدید به همان شدت باج‌افزارهای گذشته کاربران را آلوده نکرده است اما نرخ تشخیص این بدافزار نشان می‌دهد که در برخی از روزها تعداد رایانامه‌‌هایی که برای گسترش این تهدید ارسال شده‌اند به طور قابل ملاحظه‌ای بالا بوده است به حدی که به این میزان از درصدها رسیده است.
این واقعیت که تعداد کاربران آلوده‌شده به وسیله این باج‌افزار کمتر از میزان آن نسبت به باج‌افزارهای قدیمی‌تر هستند با وجودی که نرخ تشخیص این بدافزار نسبت به آن بالاتر بوده است؛ می‌تواند خبر خوبی باشد. این نشان می‌دهد که کاربران از اقدامات حفاظتی به گونه‌ای استفاده می‌کنند که قادرند تهدیدهای جدید را کشف کنند و همین‌طور بیان‌گر این است که آن‌ها پرونده‌‌های آلوده مشکوک ضمیمه‌شده به رایانامه‌‌های خود را که ما مورد تحلیل قرار داده‌ایم اجرا نکرده‌اند.
در هر صورت، ما همچنان می‌توانیم اقدامات امنیتی خود را برای اجتناب از مشکلات موجود در آلودگی باج‌افزارها افزایش دهیم. یکی از اقدامات این است که از همه پرونده‌‌های مهم خود سر موقع پشتیبان تهیه کنیم تا در صورت ایجاد مشکل برای آنها بتوانیم به سرعت آنها را بازیابی کنیم.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap