باج‌افزار Locky در سال ۲۰۱۶ میلادی بسیار فعال بود و سر و صدای زیادی به پا کرده بود ولی در سه ماهه‌ی اول سال ۲۰۱۷ میلادی دیدیم که فعالیت این بدافزار کمتر شد. محققان اعلام کردند در چند روز اخیر شاهد بازگشت این باج‌افزار در پویشی مبتنی بر Necurs بوده‌اند. Necurs بات‌نتی است که برای اولین بار سال گذشته ظاهر شد و در حال حاضر نزدیک به ۱.۷ میلیون رایانه‌ی آلوده را تحت کنترل خود در آورده است.

محققان امنیتی می‌گویند قبل از کریسمس سال ۲۰۱۶ تعداد هرزنامه‌ها کاهش چشمگیری داشته است. هرچند هنوز دلیل این مسئله مشخص نیست ولی محققان حدس می‌زنند غیرفعال شدن بات‌نت Necurs یکی از دلایل این موضوع باشد. در ۱ فروردین ماه تعداد هرزنامه‌ها به‌طور ناگهانی رشد ۵ برابری داشت چرا که بات‌نت Necurs دوباره برگشته بود.

امروز یک ماه بعد از این قضیه، Necurs فعالیت خود را با توزیع باج‌افزار Locky تشدید کرده است. به گزارش محققان تالوس، باج‌افزار Locky در حال حاضر با سرعت بسیار بالایی در حال توزیع است. این شرکت مشاهده کرده که ۳۵ هزار رایانامه برای توزیع این باج‌افزار افزایش پیدا کرده است. پویش باج‌افزار Locky بسیار شبیه به اکثر پویش‌های هرزنامه‌ای است. در پویش توزیع این بدافزار از رایانامه‌های مختلفی با موضوعات پرداخت و رسید استفاده می‌شود. به‌عنوان مثال در بخش موضوع رایانامه، یک شماره رسید ثبت شده و در متن رایانامه چیزی نیامده است و صرفاً یک پرونده‌ی مخرب پی‌دی‌اف ضمیمه شده است.

در حال حاضر شاهد دو پویش هستیم یا بهتر بگوییم دو متدولوژی مختلف در یک پویش مورد استفاده قرار گرفته است. در یکی از این پویش‌ها موضوع رایانامه در چندین بار ارسال ثابت باقی مانده و بعداً تغییر می‌کند و در یکی دیگر از پویش‌ها از یک عنوان برای ده‌ها هزار رایانامه استفاده می‎شود. روشی که در این پویش برای توزیع باج‌افزار Locky مورد استفاده قرار می‌گیرد، مشابه روش پویش Dridex است. برخلاف استفاده از یک پرونده‌ی مایکروسافت DOCM. از یک پرونده‌ی پی‌دی‌اف استفاده شده است و نام آن‌ها یکی است. در پرونده‌ی ورد، یک ماکروی مخرب وجود داشت که با فعال شدن آن، باج‌افزار Locky بر روی سامانه نصب شده و به رمزنگاری پرونده‌ها می‌پرداخت.

محققان امنیتی می‌گویند در این روش توزیع، یک ویژگی جالب توجه وجود دارد که برای نصب باج‌افزار نیاز به تعامل با کاربر برای اجرای پرونده‌ی مخرب وجود دارد و این مسئله می‌تواند راه‌حل‌های دفاعی مانند جعبه شنی را دور بزند. به‌خاطر اینکه این باج‌افزار به حالت خفته بوده و با فعالیت کاربر فعال می‌شود، بنابراین در دام جعبه شنی نخواهد افتاد. این پویش رابطه‌ی نزدیک و عمیق بین باج‌افزار Locky و بات‌نت Necurs را نشان می‌دهد. اگر این بات‌نت به توزیع باج‌افزار Locky نپردازد، رشد آن کاهش چشمگیری خواهد داشت. هرچند که فعال نبودن باج‌افزار نیز به این معنی نیست که به‌طور کلی از بین رفته است بلکه تلاش خواهد کرد با قدرتی دو برابر برگردد. محققان می‌گویند قبلاً آلودگی به بدافزار از طریق ماکروهای مخرب ورد بسیار زیاد بود ولی اینک پرونده‌های مخرب در قالب پی‌دی‌اف به قربانیان تحویل داده می‌شود.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

باج‌افزار Locky برگشته و با استفاده از بات‌نت جدید توزیع می‌شود

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *