محققان امنیتی آزمایشگاه کسپرسکی خانواده‌ی جدید باج‌افزاری را کشف کردند که از باج‌افزار معروف و شناخته‌شده‌ی Petya برای رمزنگاری استفاده می‌کند. نویسندگان باج‌افزار جدید، نسخه‌ی قدیمی را طوری تغییر داده‌اند تا در حین اجرا بتواند خود را کنترل کند.

باج‌افزار Petya سال گذشته شناسایی شد. این باج‌افزار زمانی توجه محققان امنیتی را به‌ خود جلب کرد که توانایی تغییر رکوردهای بوت اصلی (MBR) را داشت و می‌توانست کل سامانه را از کار بیندازد برخلاف سایر باج‌افزارها که صرفاً به رمزنگاری پرونده‌ها اکتفا می‌کنند. به زودی باج‌افزار Petya با باج‌افزاری دیگر با نام Mischa گروهی تشکیل دادند و باج‌افزار به‌عنوان سرویس را راه‌اندازی کردند.

باج‌افزار جدید با نام PetrWrap از قابلیت‌های Petya برای اهداف مخرب خود استفاده می‌کند ولی در قالب باج‌افزار به‌عنوان سرویس ارائه نمی‌شود. این بدافزار به‌طور دستی توزیع می‌شود. مهاجمان سازمان مورد نظر خود را شناسایی کرده و شبکه‌ی آن را آلوده می‌کنند. در ادامه بر روی سامانه‌ی قربانی با استفاده از ابزار قانونی PsExec، باج‌افزار را بر روی سامانه یا کارگزار نصب می‌کنند.

این باج‌افزار با زبان سی نوشته شده و با استفاده از مایکروسافت ویژوال استادیو، کامپایل شده است. باج‌افزار جدید ماژول‌های باج‌افزار Petya را نیز به قابلیت‌های خود اضافه کرده ولی کد منبع آن را به‌گونه‌ای تغییر داده تا در زمان اجرا بتواند فرآیند خود را کنترل کند. این بدافزار همچنین از الگوریتم رمزنگاری مخصوص به خود استفاده می‌کند.

پس از راه‌اندازی، باج‌افزار PetrWrap یک و نیم ساعت اجرای خود را به تأخیر می‌اندازد و پس از آن پرونده‌های DLL مربوط به باج‌افزار Petya را رمزگشایی کرده و آماده‌ی فراخوانی تابع خود با نام ZuWQdweafdsg۳۴۵۳۱۲ است. باج‌افزار Petya از این تابع برای آماده‌سازی خود برای مرحله‌ی بعد که قرار است MBR بازنویسی شود، استفاده می‌کند.

در ادامه بدافزار محاسبات رمزنگاری خود را تکمیل می‌کند. PetrWrap به‌طور کامل بخش ECDH در باج‌افزار Petya با پیاده‌سازی مستقل خود بازنویسی کرده و از کلیدهای عمومی و خصوصی مخصوص به خود استفاده می‌کند. در این باج‌افزار یک کلید عمومی تعبیه شده که از آن برای تولید کلید نشست منحصربفرد برای هر آلودگی استفاده می‌کند.

تمامی اینتغییرات به باج‌افزار PetrWrap اجازه می‌دهد تا ماشین کاربر را قفل کرده و به‌طور امن، پارتیشن‌های MFT و NTFS را رمزنگاری کند. در ادامه نیز صفحه‌ی قفل به کاربر نمایش داده می‌شود که در آن اشاره‌ای به باج‌افزار Petya نشده است. به‌دلیل اینکه این خانواده از باج‌افزار از الگوریتم رمزنگاری بسیار قوی استفاده می‌کند، در حال حاضر هیچ ابزار رمزگشایی رایگانی وجود ندارد تا به قربانیان در بازیابی پرونده‌ها کمک کند. با این حال کارشناسان کسپرسکی اعلام کردند قربانیان می‌توانند با ابزارهای ارائه‌شده توسط نهادهای ثالث مانند R-Studio برای بازیابی پرونده‌های خود تلاش کنند.

کسپرسکی در نتیجه‌گیری خود گفت: «حملاتی که سازمان‌ها را با هدف رمزنگاری پرونده‌ها مورد نفوذ قرار می‌دهند رو به افزایش است. مهاجمانی که از باج‌افزارها برای این اهداف خود استفاده می‌کنند، به دنبال کارگزارهایی هستند که به شیوه‌ای ناامن از RDP استفاده می‌کنند و با استفاده از آن‌ها می‌توان به ماشین هدف دسترسی داشت. پس از اینکه مهاجمان به شبکه‌ی سازمان نفوذ کردند، می‌توانند با استفاده از ابزارهایی مانند Mimikatz برای نصب باج‌افزار دسترسی‌های لازم را کسب کنند.»

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

ظهور باج‌افزار جدید با نام PetrWrap

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *