قابلیت باج‌افزارهای جدید CRYPTXXX در فرار از شناسایی شدن و مقاومت در برابر ابزارهای رمزگشایی

طراحان باج‌افزار CRYPTXXX آخرین نسخه این باج‌افزار را با به‌روز‌رسانی در بخش فناوری‌های رمزگذاری و روش‌های جدید فرار از شناسایی توسط محققان، روانه دنیای اینترنت کردند. این نسخه جدید توسط سامانه‌های شرکت SentinelOne کشف شده ‌است. این شرکت معتقد است که نمونه جدیداً به‌روزرسانی شده این باج‌افزار سودی معادل حدود ۵۰ هزار دلار را در قالب بیت‌کوین در هفده روز گذشته برای طراحان داشته ‌است.
روز دوشنبه، کلب فنتون، محقق حوزه امنیت در شرکت SentinelOne در توضیح یافته‌های خود در مورد این باج‌افزار در یک پست توضیح داد که نسخه جدید باج‌افزار CRYPTXXX در ابتدا از طریق هرزنامه‌ها منتشر می‌شود.

CRYPTXXX برای محققان یک هدف سریع و پیش‌رونده بوده است و برخی آن را مانند «یک کودک بازیگوش در یک راهرو» ‌تعریف کرده‌اند که نمی‌توان به‌راحتی آن را متوقف کرد. برخی نیز از نظر میزان آلودگی و انتشار، آن را نمونه شدیدتر و مخرب‌تر از باج‌افزار Locky می‌دانند. در ماه می، مجرمان فضای مجازی نسخه به‌روزرسانی شده این باج‌افزار را با نام نسخه ۳.۱۰۰ روانه دنیای اینترنت کردند که شامل یک بخش سرقت اطلاعات کاربری موسوم به StillerX است. این بخش در اصل به نفوذگران کمک می‌کند پول بیشتری را از حمله به دست آورند.

شرکت SentinelOne به‌تازگی گزارش داده‌ است که مجرمان این باج‌افزار را دوباره به‌روز‌رسانی کرده‌اند و بخش رمزگذاری آن را تقویت کرده‌اند تا از این طریق ابزار کشف رمز (رمزگشا) را که محققان علیه این باج‌افزار استفاده می‌کنند، ناکام بگذارند. بر اساس اطلاعات عنوان شده در صفحه پشتیبانی آزمایشگاه کسپرسکی، رمزگشا RannohDecryptor روی بسیاری از نسخه‌های باج‌افزار CryptXXX به‌خوبی عمل کرده‌ است. در این گزارش همچنین آمده‌ است که در نسخه ۳.۱۰۰ این باج‌افزار، این رمزگشا دیگر قادر به شکستن رمزها نبوده‌ است، اما در مورد نسخه‌های قبلی هنوز می‌تواند مورد استفاده قرار گیرد.

نسخه جدید این باج‌افزار که توسط شرکت SentinelOne کشف شد، روش‌های فرار جدیدی را نیز به کار گرفته ‌است. یکی از نمونه‌های این روش‌ها، ظاهرسازی مقدار بیت‌کوین دریافتی باج‌افزار به‌صورت یک کتابخانه اتصال پویا است که ظاهری قانونی و درست به این باج‌افزار می‌دهد. این کتابخانه باعث می‌شود نرم‌افزار CyberLink PowerDVD Cinema اجرا شود. فنتون در این مورد گفت: «با بررسی سریع و ساده ویژگی‌های مخرب این (به‌اصطلاح) کتابخانه اتصال پویا می‌توان به‌راحتی دریافت که این باج‌افزار از این روش برای قانونی ‌نشان‌ دادن خود استفاده می‌کند. این باج‌افزار برای این منظور نام BigBang.dll را برای این بخش انتخاب کرده ‌است.»

فنتون با بررسی بیشتر دریافت که BigBang.dll ویژگی‌های مشابه رمزی را دارد که باج‌افزار با استفاده از آن مقادیر بیت‌کوین دریافتی خود را پنهان می‌کند. وی در این باره گفت: «باز شدن این کتابخانه نیز با اختصاص میزان حافظه لازم برای مقدار رمزنگاری شده با نرم‌افزار VirtualAlloc انجام می‌شود و سپس بایت‌های رمزنگاری‌شده روی سامانه کپی می‌شوند.» فنتون همچنین متوجه شد که وقتی کتابخانه اتصال پویا باز می‌شود، محتوای آن بی‌خطر هستند.

وی سپس با بررسی‌های دقیق‌تر متوجه شد این باج‌افزار ابزار جاسوسی نیز دارد که این مسئله باعث توجه بیشتر محققان شده‌ است. فنتون در این باره با ارائه توضیحات بیشتر خاطر نشان کرد: «لیست اطلاعات خارج‌شده از سامانه توسط این باج‌افزار که هیچ‌گونه فعالیت قانونی را ندارد، غیرعادی است. علاوه بر این، اطلاعات ورودی و خروجی از سامانه کاملاً با اطلاعات قانونی و درست، یا به عبارت دیگر اطلاعات موجود در کتابخانه BigBang.dll مغایرت دارند؛ بنابراین می‌توان ادعا کرد که این اقدام برای جلوگیری از انجام تحلیل در مورد این باج‌افزار انجام شده‌ است.»

نکته بعدی در این مورد این است که کتابخانه اتصال پویای مخرب با استفاده از شکستن رمزها، به‌صورت روزانه اطلاعات را باز کرده و افشا می‌کند. بخش بازکننده اطلاعات با استفاده از کلید رجیستری با نشانی
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
اقدام به تعیین محل پوشه شروع کار ویندوز می‌کند. پس از این مرحله، یک رمز باز نشده، یادداشت باج‌خواهی را به‌صورت HTML نشان می‌دهد که به هنگام روشن کردن رایانه باز شده و سپس کاربر با استفاده از این یادداشت ‌درمی‌یابد که چگونه باید پرونده‎های خود را بازیابی کند.

فنتون در ادامه توضیحات خود گفت: نمونه‌های اولیه که مورد تحلیل واقع شده‌اند، در اصل از میانبرهای ویندوز استخراج شده‌اند.(lnk file.) این میانبر مسیر rundll۳۲.exe ،F۰F۳.tmp.dll ،MSX۳ را نشان می‌دهد. این به این معنی است که شناسه‌های موجود برای rundll۳۲.exe باعث بالا آمدن کتابخانه F۰F۳.tmp.dll می‌شود و در پایان MSX۳ فعال می‌شود. فنتون همچنین اضافه کرد: «بلافاصله پس از اجرای MSX۳، بخش اجرا به آدرس MSX۳ منتقل شده و رمزگذاری پرونده و متعاقباً عملیات باج‌خواهی شروع می‌شود.»

شرکت SetinelOne خاطرنشان کرد در این نسخه از این باج‌افزار، پرونده‎ها با استفاده از ترکیبی از RSA و RC۴ و همچنین بخش الحاقیcryp۱. رمزگذاری می‌شوند. این در حالی است که در نسخه‌های قبلی به‌جایcryp۱.، از crypz. و.crypt. استفاده می‌شد. تحلیل مقدار به دست‌آمده از این عملیات باج‌افزاری حاکی از این است که نشانی بیت‌کوین موجود در باج‌افزار از فاصله روزهای ۴ تا ۲۱ ماه ژوئن ۷۰ بیت‌کوین را از کاربران اخاذی کرده است که میانگین آن به ازای هرکدام از ۶۰ کاربر مورد سرقت واقع‌شده، میزان ۱.۳ بیت‌کوین (معادل ۷۶۶ دلار) بوده‌ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap