MarsJoke؛ باج‌افزارِ علاقه‌مند به نهادهای دولتی و آموزشی

۱۸۹۶به تازگی سر و کله‌ی یک باج‌افزار جدید پیدا شده که سازمان‌های دولتی و محلی و نیز نهادهای آموزشی را هدف حمله قرار می‌دهد، سازمان‌هایی که احتمالاً بودجه‌ی ناچیزی برای مقابله با تهدیدهای سایبری در اختیار دارند.

این باج‌افزار که MarsJoke نام دارد، هفته‌ی گذشته در یک کمپین رایانامه‌ای گسترده کشف شده، کمپینی که بات‌نت Kelihos هدایت آن را بر عهده دارد.

این رایانامه‌ها حاوی URLهایی هستند که به یک پرونده‌ی اجرایی به نام file_۶.exe منتج می‌شوند، این پرونده در وب‌گاه‌های مختلفی میزبانی می‌شود که به تازگی دامنه‌ی آن‌ها به ثبت رسیده و ظاهراً هدف از ثبت آن‌ها پشتیبانی از این کمپین بوده است.

این شیوه با حملات مبتنی بر ماکرو که با گونه‌های مخربی همچون Locky عملی می‌شوند، متفاوت است. مشخصه‌ی کمپین MarsJoke در هرزنامه‌های متقاعدکننده‌ای است که از القاب تجاری شرکت‌های محبوب حمل و نقل و هوایی سوءاستفاده می‌کنند. در یکی از پیام‌های متداول در این هرزنامه‌ها می‌خوانیم: «بدون هیچ مشکلی از شماره‌ی پی‌‌گیری موجود در پرونده‌ی زیر استفاده کنید.»

هنگامی‌که این پرونده (file_۶.exe) بارگیری شود، باج‌افزار MarsJoke نصب می‌شود که به سرعت پرونده‌ها را رمزگذاری می‌نماید، اما پسوند پرونده‌های اصلی را تغییر نمی‌دهد. با این حال در خلال فرآیند رمزگذاری، پسوند متعلق به پرونده‌ها به‌طور موقت با «a۱۹.» و «ap۱۹.» جای‌گزین می‌شود.

پس‌زمینه‌ی دسکتاپ سامانه‌های آلوده به MarsJoke به رنگ مشکی تغییر پیدا می‌‌کند و پیام مربوط به این باج‌افزار در زیر آن به نمایش درمی‌آید. در پیام به نمایش درآمده می‌خوانیم: «اسناد، اسکریپت‌ها، تصاویر و سایر پرونده‌های مهم با الگوریتم رمزنگاری قوی AES-۲۶۵ و یک کلید منحصربه‌فرد رمز شده‌اند، کلیدی که برای همین رایانه تولید شده است.»

پیام باج به‌طور پیش‌فرض به زبان انگلیسی ارائه می‌شود، اما می‌تواند به زبان روسی، ایتالیایی، اسپانیایی و نیز اوکراینی باشد. به قربانی‌ها گوش‌زد می‌شود که ۹۶ ساعت فرصت دارند ۰٫۷ بیت‌کوین معادل ۳۲۰ دلار را برای پیش‌گیری از پاک‌شدن پرونده‌هایشان پرداخت نمایند.

نفوذگران پشت پرده‌ی MarsJoke صفحه‌ای را از باج‌افزار CryptFile۲ به سرقت برده‌اند. کمپین هرزنامه‌ای باج‌افزار CryptFile۲ نیز از طریق بات‌نت Kelihos توزیع شده است. CryptFile۲ هم مانند MarsJoke از URLهای آلوده‌ی توکار به مؤسسات دولتی و آموزشی حمله می‌کند و دریافت‌کنندگان از همه‌جا بی‌خبر را به بارگیری پرونده‌های مخرب وا‌می‌دارد.

تفاوت اصلی میان این دو گونه‌ از باج‌افزار این است که در مورد CryptFile۲، پرونده‌های مخرب از نوع اسناد ورد حاوی ماکروهای مخرب بودند و الگوریتم رمزنگاری آن‌ها متفاوت بود.

نام MarsJoke از یک رشته‌ی کشف‌شده در میان کد این باج‌افزار اقتباس شده است: «HelloWorldItsJokeFromMars».

به نظر نمی‌رسد که MarsJoke باج‌افزار دیگری باشد. هرچند حجم پیام و هدف مرتبط با این کمپین این نکته را خاطرنشان می‌کند که نفوذگران در صدد رسیدن به مدل‌های تازه برای فریب دادن همان قربانی‌های سابق خود می‌باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap