حرکت باج‌افزار Locky از اساطیر اسکاندیناوی به سمت اساطیر مصر

محققان امنیتی کشف کردند باج‌افزار مشهور Locky این‌بار نیز پسوند جدید را برای افزودن به انتهای پرونده‌های رمزنگاری‌شده انتخاب کرده است. این باج‌افزار همچنین برای توزیع از ضمیمه‌های مخرب اکسل استفاده می‌کند.

آخرین نسخه از باج‌افزار Locky پسوند osiris. را به انتهای پرونده‌های رمزنگاری‌شده اضافه می‌کند. اُزیریس ایزد جهان زیرزمینی و زندگی پس از مرگ در اساطیر مصر باستان است. چند هفته قبل هم مشاهده شده بود که این باج‌افزار پسوند aesir. را به پرونده‌ها اضافه می‌کرد. آسیر یا اِزیر نیز یکی از دو گروه اصلی خدایان قبل از مسیحیت، در بین نورس‌ها است. می‌بینیم که این باج‌افزار از اساطیر اسکاندیناوی به اساطیر مصر متمایل شده است.

این باج‌افزار به‌طور مداوم پسوندهای اضافه‌شده به پرونده‌ها را تغییر می‌دهد. اولین بار که در بهمن‌ماه سال قبل این باج‌افزار مشاهده شد، پسوند locky. را به انتهای پرونده‌های رمزنگاری‌شده اضافه می‌کرد. از شناخته‌شده‌ترین پسوندها که توسط این باج‌افزار استفاده شده می‌توان به Odin، Zepto و Thor اشاره کرد.

یک تغییر جالب در نسخه‌ی جدید باج‌افزار Locky، استفاده از اسناد اکسل مخرب برای توزیع این بدافزار است. این اسناد به هزرنامه‌ها پیوست شده‌اند و این‌گونه به‌نظر می‌رسد که فاکتورهای خرید هستند. این اسناد در داخل پرونده‌های Zip مخفی شده‌اند. این اسناد اکسل حاوی ماکروهایی هستند که به‌محض فعال شدن، بدافزار Locky را بر روی سامانه‌ی قربانی بارگیری و نصب می‌کنند.

به محض اینکه کاربر سند اکسل را باز کند، یک صفحه گسترده‌ی سفید برای او نمایش داده می‌شود. از کاربر خواسته می‌شود برای مشاهده‌ی محتوا، ماکروها را فعال کند. نام این صفحه‌ی گسترده «Лист۱» است. این عبارت به زبان اوکراینی یعنی Sheet۱. این نشانه‌ای است مبنی بر اینکه باج‌افزار Locky در اوکراین توسعه داده می‌شود.

به محض اینکه قربانی ماکروها را فعال کرد، یک ماکروی VBA۱ یک پرونده‌ی DLL را بارگیری کرده و با استفاده از برنامه‌ی قانونی Rundll۳۲.exe ویندوز، آن را بارگیری می‌کند. در پرونده‌ی بارگیری‌شده پسوند dll نمایش داده نمی‌شود چرا که این پرونده مجدداً نام‌گذاری شده است ولی همان عملکرد پرونده‌های عادی dll را دارا است.

این رفتار قبلاً نیز در باج‌فزار Locky مشاهده شده بود، اوایل امسال که باج‌افزار توسط پرونده‌های dll توزیع می‌شد ولی این رفتار صرفاً مختص این باج‌افزار نیست. محققان امنیتی می‌گویند در نسخه‌ی اخیر این باج‌افزار، نام پرونده‌ی dll و روشی که بدافزار را بارگیری می‌کند، احتمالاً با نسخه‌های قبلی متفاوت است.

وقتی باج‌افزار بر روی رایانه‌ی قربانی نصب شد، همان عملکرد قبلی را خواهد داشت: ابتدا درایوهای محلی و پرونده‌های اشتراکی شبکه را برای رمزنگاری جستجو می‌کند. باج‌افزار در ادامه پرونده‌های رمزنگاری‌شده را نام‌گذاری کرده و پسوند osiris. را به انتهای آن‌ها اضافه می‌کند.
پس از اینکه رمزنگاری پرونده‌ها به اتمام رسید، بدافزار پیغام باج‌خواهی را به قربانی نمایش می‌دهد تا اطلاع دهد چه بلایی بر سر پرونده‌ها آورده است. محققان امنیتی می‌گویند نام این پیام باج‌خواهی متناسب با نسخه‌ی جدید اُزیریس تغییر کرده است.

برای در امان ماندن از خطرات باج‌افزارها، به کاربران توصیه می‌شود ضمیمه‌های موجود در رایانامه‌های ناشناس را بارگیری نکنند. همچنین به اسنادی که می‌خواهند ماکرو را فعال کنند، بیشتر توجه کنند چرا که در بسیاری از این پرونده‌ها بدافزار مخفی شده است. در نهایت به کاربران توصیه می‌شود از یک نرم‌افزار ضدبدافزار استفاده کرده و برای جلوگیری از آلودگی به بدافزارها دائماً این ابزارها را به‌روز نگه دارند.

۱. Visual Basic for Applications

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.