ظهور باج‌افزاری جدید با نام CryptoLuck

۵محققان خانواده‌ای جدید از باج‌افزارها را مورد بررسی قرار دادند که اخیراً توسط کیت‌های بهره‌برداری توزیع می‌شوند. این باج‌افزار برای آلوده کردن رایانه‌ی قربانی از برنامه‌ی قانونی و اجرایی GoogleUpdate.exe و سرقت DLL ها استفاده می‌کند. همچنین این بدافزار در مدت ۷۲ ساعت باجی به مبلغ ۲.۱ بیت‌کوین معادل ۱۵۰۰ دلار درخواست می‌کند.

این بدافزار از طریق کیت‌ بهره‌برداری RIG که ماه گذشته ظاهر شده بود، توزیع می‌شود. به نظر می‌رسد این پویش از تبلیغ‌افزارها استفاده کرده و کاربرانی که از وب‌گاه‌های بزرگسالان دیدن کرده‌اند را هدف قرار داده است. هرچند که این باج‌افزار می‌تواند در وهله‌ی اول از وب‌گاه‌های آلوده یا سایر بردارهای آلودگی توزیع شود.

این باج‌افزار در قالب پرونده‌ی RAR SFX توزیع می‌شود. این پرونده حاوی پرونده‌های crp.cfg ،GoogleUpdate.exe و goopdata.dll است. همچنین همراه این پرونده‌ها دستورالعمل استخراج این پرونده‌ها در پوشه‌ی %AppData%\۷۶ff و بی‌سروصدا اجرا کردن GoogleUpdate.exe نیز وجود دارد. به دلیل اینکه این پرونده‌ی اجرایی به‌طور خودکار در پوشه‌ی خود دنبال پرونده‌ی DLL برای بارگیری می‌گردد، نویسندگان این بدافزار یک پرونده‌ی مخرب goopdate.dll را نیز در این پوشه قرار داده‌اند تا پرونده‌ی اجرایی آن را در حافظه بارگذاری کند.

مشاهده شده است که این باج‌افزار یک سری بررسی‌ها را انجام می‌دهد تا متوجه شود که آیا بر روی یک ماشین مجازی در حال اجرا شدن است یا خیر. اگر متوجه شد که در حال اجرا بر روی ماشین مجازی است، به فرآیند خود خاتمه خواهد داد. در غیر این‌صورت این بدافزار تمامی درایوها و شبکه‌های اشتراکی نگاشت‌نشده را پویش می‌کند تا پرونده‌های موجود در آن‌ها را رمزنگاری کند.

این بدافزار از رمزنگاری AES-۲۵۶ استفاده کرده و برای هر پرونده یک کلید منحصربفرد رمزنگاری AES تولید می‌کند. این کلید با یک کلید عمومی RSA رمزنگاری شده و کلید AES رمزنگاری‌شده در پرونده‌ی رمزنگاری‌شده تعبیه می‌شود.

این باج‌افزار به انتهای پرونده‌های رمزنگاری‌شده پسوند .[victim_id]_luck را اضافه می‌کند و میلیون‌ها پرونده با پسوندهای مختلف را هدف قرار داده است. با این حال این باج‌افزار از رمزنگاری بعضی پرونده‌ها که حاوی برخی رشته‌ها باشند، صرفنظر می‌کند. این رشته‌ها عبارتند از: Windows ،Program Files ،Program Files (x۸۶) ،ProgramData ،AppData ،Application Data ،Temporary Internet Files ،Temp ،Games ،nvidia ،intel ،$Recycle.Bin و Cookies.

به محض اینکه فرآیند رمزنگاری پرونده‌ها تمام شد، پیغام باج‌خواهی به کاربر نمایش داده شده و به او دستورالعمل پرداخت باج و بارگیری رمزگشایی‌کننده توضیح داده می‌شود. یک ویزارد رمزگشایی کاربر را هدایت می‌کند تا باج درخواستی را پرداخت کرده و تا تکمیل این فرآیند منتظر بماند. پس از آن به کاربر اطلاع داده می‌شود که پرونده‌های مورد نظر به‌طور خودکار رمزگشایی خواهند شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter