سوءاستفاده باج‌افزار Cry از برنامه Google Maps برای یافتن موقعیت قربانیان

محققان حوزه رایانه به تازگی خبر از کشف یک نوع جدید از باج‌افزارها می‌دهند که با استفاده از وبگاه‌های عمومی، اطلاعات شخصی مربوط به قربانیان خود را پخش می‌کند. بررسی‌ها در مورد نحوه کار این باج‌افزار نشان می‌دهد که این باج‌افزار برای تشخیص موقعیت قربانیان خود،‌ از واسط برنامه‌نویسی نرم‌افزار Google Maps استفاده می‌کند.

نام این باج‌افزار CSTO یا Cry است و دلیل این نام‌گذاری نیز منبع اصلی این باج‌افزار است که از یک سازمان جعلی به نام سازمان مرکزی اقدامات امنیتی (CSTO) پخش شده است. این باج‌افزار طی فرآیند کار خود، ۱.۱ بیت‌کوین (معادل ۶۲۵ دلار) را از کاربران به عنوان باج درخواست می‌کند و همچنین پس از رمزنگاری پرونده‌های کاربران، پسوند .cry را به نام پرونده‌های جدید اضافه می‌کند و سپس این اطلاعات و پرونده‌ها را با استفاده از پروتکل UDP، به کارگزار دستور و کنترل خود ارسال می‌کند. شایان‌ذکر است که این پروتکل پیش‌تر نیز در فرآیند کار باج‌افزار Cerber مشاهده شده است.

شرکت BleepingComputer در این خصوص تحلیل‌هایی را انجام داده است. این شرکت در گزارش‌های خود بیان کرد نکته‌ای که در باج‌افزار Cry و دیگر نمونه‌های مشابه آن دیده می‌شود، سوءاستفاده از وبگاه‌های عمومی مانند Imgur.com و یا Pastee.org برای نگهداری اطلاعات کاربران است. نکته دیگر در این خصوص این است که این باج‌افزار می‌تواند با استفاده از SSID اطراف کاربر در برنامه Google Maps محل و موقعیت کاربر را تعیین کند.

این باج‌افزار پس از آلوده سازی سامانه کاربر، اطلاعاتی مانند نسخه ویندوز، مجموعه‌های سرویس‌های نصب‌شده، نوع بیت ویندوز، نام کاربری، نام رایانه و نوع CPU را جمع‌آوری می‌کند و سپس آن‌ها را با استفاده از پروتکل UDP، به ۴۰۹۶ نشانی IP ارسال می‌کند که یکی از این نشانی‌ها، مربوط به کارگزار دستور و کنترل خود است. طبق یافته‌های محققان، پروتکل مورد استفاده در این فرآیند به منظور عدم شناسایی موقعیت کارگزار مورد استفاده قرار می‌گیرد.

باج‌افزار Cry پس از این اقدامات، اطلاعات کاربر را به همراه برخی پرونده‌های رمزنگاری‌شده در وبگاه Imgur.com قرار می‌دهد. این باج‌افزار اطلاعات رمزنگاری‌شده را در قالب یک پرونده جعلی تصویر PNG تنظیم کرده و سپس آن را به یک آلبوم مشخص ارسال می‌کند. وبگاه Imgur نیز اقدام به نام‌گذاری این پرونده جعلی می‌کند و سپس باج‌افزار نام پرونده را با استفاده از پروتکل UDP به کارگزار دستور و کنترل خود ارسال می‌کند.

بخش مهم دیگر از فرآیند کار این باج‌افزار، استفاده از برنامه Google Maps است. این باج‌افزار با سوءاستفاده از این برنامه و SSID اطراف شبکه‌های بی‌سیم (با استفاده از تابع WlanGetNetworkBssList)، موقعیت کاربر را تشخیص می‌دهد. محققان در مورد استفاده این باج‌افزار از موقعیت کاربر نظر خاصی ندارند، اما به نظر می‌رسد که طراحان این باج‌افزار با استفاده از این گزینه سعی در ترساندن کاربران برای پرداخت هرچه سریع‌تر باج دارند.

نکته مهم دیگر در مورد این باج‌افزار این است که این باج‌افزار پس از اقدامات خود،‌ برخی پرونده‌های پشتیبان را از پرونده‌های دسکتاپ کاربر تهیه می‌کند و سپس آن‌ها را در یک پوشه با نام old_shortcuts ذخیره می‌کند. محققان تاکنون انگیزه این اقدام باج‌افزار را شناسایی نکرده‌اند. این باج‌افزار سپس اقدام به رمزنگاری پرونده‌های کاربر و افزودن پسوند .cry به نام این پرونده‌ها می‌نماید.

این باج‌افزار در بخش دیگری از اقدامات خود، با صدور دستور vssadmin delete shadows /all /quiet، پرونده‌های رونوشت سایه‌ای را نیز پاک می‌کند و به این ترتیب از ذخیره پرونده‌ها توسط کاربران جلوگیری می‌کند. این باج‌افزار سپس یک عمل تصادفی برنامه‌ریزی‌شده را طراحی می‌کند که به هنگام ورود کاربر به ویندوز، فعال می‌شود و به این ترتیب یادداشت باج‌ّخواهی روی سامانه کاربر نمایش داده می‌شود.

یادداشت باج‌خواهی شامل شماره شناسایی فردی کاربر و همچنین دستورالعمل‌هایی در مورد ورود به وبگاه پرداخت Tor است. کاربر در هنگام ورود به این وبگاه که توسط سازمان مرکزی اقدامات امنیتی طراحی شده است، با استفاده از کدهای شخصی خود که در یادداشت باج‌خواهی قید شده است، اقدام به ورود به یک حساب می‌کند. پس از ورود، کاربر اطلاعاتی را در مورد میزان باج و همچنین نشانی بیت‌کوینی که باج باید به آن واریز شود را مشاهده می‌کند. این وبگاه شامل یک صفحه پشتیبانی برای ارتباط راحت‌تر کاربر با طراحان باج‌افزار است. علاوه بر این، در این وبگاه یک پرونده رمزگشایی‌شده به صورت رایگان به کاربر نشان داده می‌شود تا به این شکل کاربر متقاعد شود که پرونده‌های موجود به راحتی قابل رمزگشایی هستند. محققان در این خصوص معتقدند که این ویژگی وبگاه در بررسی‌ها مشاهده نشده است و پرونده‌های رمزگشایی‌شده نمایش داده نشده‌اند. به همین دلیل،‌ به کاربران توصیه می‌شود که حداقل تا زمان مشاهده فرآیند رمزگشایی پرونده‌های رمزنگاری‌شده، از پرداخت باج خودداری نمایند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.