باج‌افزار جدیدی کشف شده که نویسنده‌ی آن به پروتکل رومیزی راه دور۱ (RDP) نفوذ کرده و بدافزار مورد نظر خود را در کنار سایر ابزارها بارگذاری می‌کند. این باج‌افزار RSAUtil نام داشته و زبان دلفی نوشته شده است. بدافزار به انتهای پرونده‌های رمزنگاری‌شده، پسوند [email protected]۸۳۹۹۴۹۰۲. را اضافه می‌کند. باج‌افزار همچنین در هریک از پوشه‌ها یاداشت باج‌خواهی خود را در قالب پرونده‌ای با نام How_return_files.txt قرار می‌دهد.

محققان امنیتی اشاره کردند، نویسنده‌ی بدافزار پس از نفوذ به پروتکل RDP علاوه بر باج‌افزار، ابزارهای دیگری را در یک بسته به همراه آن بر روی سامانه‌ی قربانی بارگذاری می‌کند که حاوی یک سری ابزارهای مشخص و پرونده‌های پیکربندی است که مشخص می‌کند بر روی سامانه‌ی هدف، باج‌افزار چگونه اجرا شود.

این بسته وسیله‌ای برای آماده‌سازی دستگاه قربانی برای نصب باج‌افزار RSAUtil است. در این بسته یک پرونده‌ی CMD وجود دارد که با حذف رکوردهای ثبت‌شده، ردِ آلوده شدن ماشین به این باج‌افزار را پاک می‌کند. دو پرونده‌ی دیگر از انتقالِ وضعیت ماشین به حالت خواب جلوگیری می‌کنند. یک تصویر نیز در این بسته وجود دارد که از آن به‌عنوان تصویر پس‌زمینه استفاده می‌شود. پرونده‌ی bat موجود در بسته نیز برای مقداردهی و پیکربندی گزینه‌های مختلف RDP مورد استفاده قرار می‌گیرد.

همچنین در بسته‌ی مورد نظر، یک پرونده‌ی پیکربندی نیز وجود دارد که در حین فرآیند رمزنگاری پرونده‌ها مورد استفاده قرار می‌گیرد. این پرونده‌ی پیکربندی مشخص می‌کند پرونده‌ها در چه مسیرهایی باید رمزنگاری شوند، شناسه‌ی قربانی چه باشد، از چه آدرس رایانامه‌ای استفاده شوند، پرونده‌ی باج‌خواهی با چه نامی به قربانی نمایش داده شود. این پرونده همچنین پسوندهایی که به انتهای پرونده‌ها اضافه می‌شود و کلیدهای رمزنگاری را مشخص می‌کند. نام باج‌افزار RSAUtil در بسته‌ی مورد نظر svchosts.exe است. این بدافزار تمامی پوشه‌های رایانه‌ی قربانی و پرونده‌های به اشتراک گذاشته‌شده در سطح شبکه را پویش کرده و به رمزنگاری پرونده‌های موجود می‌پردازد.

پس از اینکه فرآیند رمزنگاری تکمیل شد، یک صفحه‌ی قفل به کاربر نمایش داده شده و آدرس‌های رایانامه‌ی [email protected] و [email protected] برای ارتباط با نویسنده‌ی بدافزار، ارائه می‌شود. پس از اینکه قربانی باج درخواستی را پرداخت کرد، یک کلید رمزگشایی در اختیار او قرار داده می‌شود تا پس از وارد کردن آن در صفحه‌ی قفل‌شده، مجدداً به پرونده‌های خود دسترسی داشته باشد.

در حال حاضر پرونده‌هایی که با باج‌افزار RSAUtil رمزنگاری شده‎اند، به‌طور رایگاه قابل بازیابی نیستند. با این وجود به تمامی کاربران توصیه می‌شود از پرداخت باج به مهاجمان خودداری کنند چرا که واقعاً مشخص نیست پس از پرداخت باج، کاربر مجدداً بتواند پرونده‌های خود را بازیابی کند. داشتن نسخه‌های پشتیبان از تمامی پرونده‌ها، در سناریوی آلوده شدن به باج‌افزارها می‌تواند بسیار کمک‌کننده باشد.

۱. remote desktop protocol

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

باج‌افزار RSAUtil با نفوذ به پروتکل رومیزیِ راه دور، توزیع می‌شود

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *