ظهور باج‌افزار قدرتمند Spora

محققان امنیتی به تازگی باج‌افزار جدیدی را بررسی کردند. در این باج‌افزار پس از پرداخت باج فقط پرونده‌های رمزنگاری‌شده را باز نمی‌یابید، بلکه می‌توانید از حملات آتی باج‌افزار نیز مصون بمانید.

به نظر می‌رسد که این باج‌افزار با نام Spora بسیار حرفه‌ای طراحی شده است چرا که از الگوریتم قوی برای رمزنگاری پرونده‌ها استفاده کرده و وب‌گاه پرداخت مناسبی دارد. همچنین این باج‌افزار بسته‌هایی را ارائه می‌دهد که قربانیان با پرداخت وجه مورد نظر می‌توانند این بسته‌ها را بخرند. در این باج‌افزار گزینه‌هایی برای انتخاب وجود دارد. قربانی می‌تواند تنها با پرداخت باج، پرونده‌های خود را بازیابی کند یا اینکه با پرداخت‌های دیگری، بدافزار را به کلی از سامانه‌ی خود حذف کرده و از حملات آتی بدافزار مصون بماند.

این باج‌افزار برای توزیع نیز از هزرنامه استفاده کرده و وانمود می‌کند که این رایانامه‌ها حاوی فاکتورهای خرید هستند. این پیام حاوی یک ضمیمه‌ی ZIP است که در داخل آن نیز یک پرونده‌ی اجرایی HTML وجود دارد و عملکرد پرونده‌های پی‌دی‌اف و داک را تقلید می‌کند. این پرونده پس از اجرا شدن یک پرونده‌ی جاوا اسکریپت را در یک پوشه‌ی موقتی استخراج می‌کند و یک اسکریپت کدشده را داخل آن می‌نویسد. در ادامه نیز پرونده‌ی جدید را اجرا می‌کند.

محققا امنیتی می‌گویند این باج‌افزار برای رمزنگاری از CryptoAPI ویندوز استفاده کرده و در فرآیند رمزنگاری نیز از ترکیبی از رمزنگاری‌های RSA و AES بهره می‌برد. باج‌افزار از یک کلید عمومی RSA که در داخل پرونده‌ی اجرایی تعبیه شده استفاده می‌کند و جفت کلید ۱۰۲۴ بیتی RSA حاوی کلید خصوصی و کلید عمومی را تولید می‌کند. در ادامه این‌ کلیدها را با یک کلید ۲۵۶ بیتی AES که به تازگی تولید شده، رمزنگاری می‌کند. کلید AES نیز در ادامه توسط کلید عمومی RSA اصلی رمزنگاری شده و به همراه اطلاعات دیگر در یک پرونده‌ی key. ذخیره می‌شود.

محققان امنیتی گفتند: «برای رمزنگاری پرونده‌ها، باج‌افزار Spora در وهله‌ی اول برای هر پرونده یک کلید ۲۵۶ بیتی AES تولید می‌کند. این کلیدها برای رمزنگاری ۵ مگابایت اول هر پرونده مورد استفاده قرار می‌گیرند. زمانی‌که این کار انجام شد، این کلید AES با کلید عمومی RSA مربوط به هر قربانی رمزنگاری می‌شود و کلید مربوط به هر پرونده که با RSA رمزنگاری شده، به پرونده‌ی رمزنگاری‌شده الصاق می‌شود.»

به دلیل اینکه فرآیند رمزنگاری بسیار پیچیده است، باج‌افزار می‌تواند بدون اتصال به کارگزار دستور و کنترل، رمزنگاری پرونده‌ها را انجام دهد. علاوه بر این، فرآیند رمزنگاری پرونده‌ها به‌قدری قوی است که نویسندگان بدافزار مطمئن هستند ابزارهای رمزگشایی که پرونده‌های یک قربانی را بازیابی می‌کند، بر روی پرونده‌های قربانی دیگر کار نخواهند کرد. به عبارت دیگر محققان امنیتی در حال حاضر نمی‌توانند به رمزگشایی پرونده‌های قربانیان کمکی بکنند چرا که به کلید خصوصی که در دست مهاجمان است، دسترسی ندارند.

محققان می‌گویند علاوه بر فرآیند رمزنگاری پیچیده و قوی، این باج‌افزار یک مدل قیمت منحصربفرد نیز دارد که مشخص می‌کند هر قربانی چه مقدار باج باید پرداخت کند. در پرونده‌ی key. که اشاره کردیم، اطلاعاتی همچون تاریخ آلوده شدن سامانه، شناسه‌ی قربانی و مکان سامانه‌ی آلوده ذخیره شده است. در این پرونده یک شناسه‌ی هاردکدشده نیز وجود دارد که محققان معتقدند ممکن است مربوط به شناسه‌ی یک پویش باشد که نشان می‌دهد مهاجمان این باج‌افزار را به‌عنوان سرویس در بازارهای زیرزمینی به فروش رسانده‌اند.

با استفاده از داده‌های آماری که در پرونده‌ی key. ذخیره می‌شود، مهاجمان مقدار باج درخواستی را محاسبه می‌کنند. این روش قبلاً در حملاتی علیه پروتکل DRP مورد استفاده قرار گرفته بود اما باج‌افزار Spora این فرآیند را کاملاً خودکار کرده است. این اطلاعات آماری که اشاره کردیم، از طریق شناسه‌ی قربانی نیز قابل محاسبه است. هنگام مراجعه‌ی قربانی به پورتال پرداخت باج، از او شناسه‌ی قربانی درخواست می‌شود.

این شناسه معمولاً حاوی ۵ قطعه‌ی ۵نویسه‌ای است که از طریق خط تیره از هم جدا شده‌اند. محققان امنیتی توضیح دادند: «اگر قطعه‌ی آخر این شناسه به ۵ نویسه نرسیده باشد، با نویسه‌ی Y پر خواهد شد. بدین ترتیب با استفاده از این شناسه می‌توان تعداد پرونده‌هایی که با باج‌افزار Spora رمزنگاری شده‌اند را بدست آورد. ما به همراه پروژه‌های دیگر که سعی دارند با رشد باج‌افزار مقابله کنند، تلاش می‌کنیم تا از روی پیغام باج‌خواهی شناسه را بدست آورده و این اطلاعات آماری را بدست آوریم.»

این باج‌افزار پرونده‌های محلی و همچنین پرونده‌هایی که بر روی شبکه به اشتراک گذاشته شده است را رمزنگاری می‌کند و به انتهای پرونده‌ها هیچ پسوندی اضافه نمی‌کند. همچنین باید اشاره کنیم که این باج‌افزار پرونده‌هایی که در مسیرهای خاص قرار گرفته را رمزنگاری نمی‌کند تا مطمئن شود که سامانه‌ی آلوده همچنان به اجرای خود ادامه خواهد داد. پس از اتمام فرآیند رمزنگاری یک پیغام باج‌خواهی مبتنی بر HTML و پرونده‌ی key. به قربانی نمایش داده می‌شود. پرونده‌ی HTML به خوبی طراحی شده و پرونده‌ی key. نیز برای رمزگشایی پرونده‌ها باید برای مهاجمان ارسال شود.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.