ظهور باج‌افزار چینی زبان

هرگاه که تهدیدی در یک منطقه‌ی خاص «بومی» شد، علامت این است که مهاجمان عقیده دارند می‌توانند در آنجا درآمد کسب کنند. باج‌افزارها میلیون‌ها دلار پول در سراسر دنیا به جیب نویسندگان خود می‌ریزند و به نظر می‌رسد که اکنون بر بخش دیگری از جهان تمرکز کرده‌اند: چین. با این حال اولین حضور در این حوزه، چندین اشتباه در پی داشته است.
اخیراً کارشناسان به چند نمونه برخورد کرده‌اند که به عنوان باج‌افزار چینی زبان ظهور پیدا کرده است. آن‌ها این باج‌افزار را Ransom_SHUJIN.A نام‎گذاری کرده‌اند. همه‌ی این نمونه‌ها می‌توانند در یک پرونده اجرایی باز شوند. در حالی‎که این اولین باری نیست که باج‌افزارهای چینی‌ زبان تولید شده اما این اولین بار است که یکی از آن‎ها از حروف زبان چینی استفاده می‌کند. استفاده‌ی از این حروف برای کاربرد در چین طراحی شده است. همچون این نوشته‌ها، بردار آلودگی این حمله هنوز مشخص نیست.
به محض اینکه این باج‌افزار اجرا می‌شود، چنین پیغامی را به نمایش می‌گذارد:

۴۶۱

زبان این نوشتار شبیه به آن چیزی است که در سایر باج‌افزارها استفاده شده است (نوشته شدن اینکه پرونده‎های کاربر رمزنگاری شده و مجموع تعداد پرونده‎های رمزنگاری و حجم آن‎ها)
دستورات این باج‌افزار قابل مقایسه با آن چیزی است که در سایر باج‌افزارها مشاهده می‎شود، زیرا از کاربر درخواست می‎کند تا مرورگر تور را برای وصل شدن به وب‎گاه مهاجم بارگیری کند.

۴۶۲

زبان این نوشته‌ها نشان می‌دهند که نویسنده کسی است که به زبان چینی مسلط است؛ همچنین این دستورالعمل‌ها به گونه‌ای اصلاح شده‌اند تا بر وضعیت محلی کشور چین منطبق شوند مثلاً به جای گوگل از بایدو (Baido) برای یافتن و بارگیری مرورگر تور استفاده می‌شود؛ همچنین نویسنده یادآور می‌شود که برای دسترسی به مرورگر تور در چین باید از یک شبکه خصوصی مجازی VPN و یا یک پروکسی استفاده کرد.
دستورالعمل‌های به کار رفته در این وبگاه نیز شبیه به آن چیزی است که در حملات دیگر باج‌افزارها استفاده می‌شود. در تصویر زیر صفحه‎نمایش به همراه توضیحاتی از این نشانی‌های اینترنتی نشان داده شده است:

۴۶۳

این نشانی‌ها عبارتند از:

hxxp://eqlc۷۵eumpb۷۷ced[.]onion/Decrypt.exe – updated copy of Ransom_SHUJIN.A
hxxp://eqlc۷۵eumpb۷۷ced[.]onion/GetMKey.JPG – step-by-step instructions
hxxp://eqlc۷۵eumpb۷۷ced[.]onion/btc/ – bitcoin tutorials
hxxp://eqlc۷۵eumpb۷۷ced[.]onion/btc/help.html – bitcoin tutorials
hxxp://eqlc۷۵eumpb۷۷ced[.]onion/DeFile.JPG – more instructions

با این حال، برخی از چیزها در مورد باج‌افزار SHUJIN کاملاً به حساب نیامده‌اند. در طول این پست این حمله یک حمله باج‌افزاری نامیده شد و نه یک حمله باج‌افزار- رمزنگار. چرا؟ زیرا برخلاف نوشته‌ها هیچ گونه رمزنگاری واقعی رخ نداده است.
به همین شکل، استفاده از بیت‌کوین و تور برای پرداخت باج غیرمعمول است. برای انجام این کار به این طریق، نیاز به داشتن برخی از مهارت‌ها وجود دارد، هم برای استفاده از تور و هم برای به دست آوردن بیت‌کوین. در گذشته باج‌افزارهای موبایل در چین مشاهده شده بود اما در آن موارد از الیپی Alipay (یک راه‌حل پرداخت محبوب بومی) استفاده می‌شد و مهاجمان از طریق یک شماره QQ در دسترس قرار می‌گرفتند.
عدم آشنایی عاملان باج‌افزار SHIJIN با چشم‌انداز اینترنت چین نشان می‌دهد که مهاجمان خارج از چین حضور دارندو با وجود استفاده از دستور زبان خوب و مسلط چینی، این امر واقعیت دارد. همچنین می‎توان گفت که این‎گونه روش‌های حمله رو به پیشرفت خواهند بود و مهاجمان به کاربران چینی بسیار مؤثرتر حمله خواهند کرد و به شکلی بسیار سفارشی‌ شده‎تر به سراغ انجام مراحل پرداخت خواهند رفت.
درهم‌ساز‎های انجام شده:
نمونه مربوط به این حمله از این درهم‎سازی SHA-۱ استفاده کرده است:‌
D۶BAA۹BE۰۲۷۲۳۴۳۰EADE۳۳۴۳۲F۷۷۱۸FD۹۳DD۸۳۸B

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.