باج‌افزار Ransoc فعالیت‌های غیرمجاز کاربران در شبکه‌های اجتماعی را ردیابی می‌کند

۸اخیراً باج‌افزار جدیدی کشف شده که برخلاف گونه‌های مشابه خود، پرونده‌های موجود بر روی سامانه را رمزنگاری نمی‌کند بلکه با اتصال به حساب‌های شبکه‌های اجتماعی، پرونده‌های تورنت و فعالیت‌های غیرمجاز را پیدا کرده و از قربانی باج درخواست می‌کند.

این باج‌افزار با نام Ransoc به شبکه‌های اجتماعی مانند لینکدین، فیس‌بوک و اسکایپ متصل می‌شود. بعد از اینکه بر روی سامانه‌ی آلوده به شبکه‌های اجتماعی متصل شد، به دنبال پرونده‌های تورنت و هرگونه فعالیت غیرمجاز می‌گردد و در نهایت باتوجه به پرونده‌هایی که پیدا کرده، پیغام باج‌خواهی را نمایش می‌دهد.

محققان امنیتی می‌گویند بدافزار Ransoc سامانه‌های ویندوزی را هدف قرار داده است و قابلیت اصلی این باج‌افزار یک قفل‌کننده‌ی مرورگر است که در بسترهای-متقابل کار می‌کند. این قفل‌کننده مرورگر در اکتبر مورد بررسی قرار گرفته و کشف شده که توسط پویش‌های تبلیغاتی توزیع می‌شود. این قفل‌کننده‌ی مرورگر بر روی ویندوز مرورگر اینترنت اکسپلورر و بر روی سامانه‌ی مک ایکس مرورگر سافاری را هدف قرار داده است.

پس از تحلیل این بدافزار محققان دریافتند که این باج‌افزار بررسی بر روی آدرس IP انجام داده و تمامی ترافیک را تحت شبکه‌ی Tor منتقل می‌کند. همچنین کشف شده است که این باج‌افزار زمانی پیغام باج‌خواهی را نمایش می‌دهد که شواهد کافی از پورنوگرافی کودکان و پرونده‌های بارگیری‌شده توسط تورنت در سامانه‌ی آلوده وجود داشته باشد.

باتوجه به اتصال این باج‌افزار به شبکه‌های اجتماعی، پیغام باج‌خواهی که نمایش داده می‌شود با اطلاعات دقیق حساب کاربر مانند تصویر پروفایل سفارشی‌سازی شده است. قربانی با اطلاعاتی که توسط باج‌افزار جمع‌آوری شده تهدید می‌شود. در این تهدید به قربانی گفته می‌شود اگر باج درخواستی را پرداخت نکند، اطلاعات حساس او به‌طور عمومی افشاء خواهد شد. همچنین مهاجمان با روش مهندسی اجتماعی پیام را طوری ارسال می‌کنند که کاربر فریب خورده و فکر کند این پیام از طرف بخش‌های اصلی شبکه‌ی اجتماعی است.

مشاهده شده که در کد این باج‌افزار قابلیت راه‌اندازی وب‌کم سامانه‌ی قربانی نیز وجود دارد ولی محققان می‌گویند این قابلیت فعال نشده و مورد استفاده قرار نگرفته است. پیغام باج‌خواهی در یک پنجره‌ی تمام صفحه نمایش داده شده و همچون یک قفل‌کننده‌ی مرورگر عمل می‌کند و اجازه‌ی کار با سامانه عامل و بستن مرورگر را به قربانی نمی‌دهد. علاوه بر این باج‌افزار Ransoc هر ۱۰۰ میلی‌ثانیه یکبار فرآیندهای regedit ،msconfig و taskmgr را بررسی کرده و به این فرآیندها خاتمه می‌دهد. با این کار مانع از این می‌شود که قربانی بتواند این باج‌افزار را متوقف نماید.

همچنین محققان کشف کردند که این باج‌افزار تنها از یک کلید خودکار رجیستری برا ماندگاری استفاده می‌کند. در نتیجه قربانی می‌تواند با راه‌اندازی مجدد سامانه در حالت امن این آلودگی را حذف کند. توسعه‌دهندگان این باج‌افزار از رویکرد خاصی برای پرداخت باج استفاده کرده و شماره کارت را در پیغام باج‌خواهی اعلام کرده‌اند. با این رویکرد مراجع قضایی به راحتی می‌توانند مهاجمان را ردیابی کنند. هرچند مهاجمان مطمئن هستند که کاربر بخاطر فعالیت‌های غیرمجازی که داشته، این مسئله را با مراجع قضایی در میان نمی‌گذارد.

همچنین باتوجه به اینکه پیغام باج‌خواهی پس از یافتن پرونده‌های پورنوگرافی و فعالیت‌های غیراخلاقی و غیرمجاز نمایش داده می‌شود، این احتمال وجود دارد که این بدافزار از طریق تبلیغات در وب‌گاه‌های پورنوگرافی و دوست‌یابی توزیع شده باشد. در این پیغام باج‌خواهی همچنین اشاره شده است که اگر قربانی در ۱۸۰ روز آینده فعالیت‌های غیرمجاز نداشته باشد، باج به او برگردانده خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter