خانواده‌ی جدید باج‌افزاری که به کیت بهره‌برداری RIG اضافه شده، به‌نظر می‌رسد در مرحله‌ی آزمایش بوده و محققان معتقدند می‌تواند به تهدیدی جدی و خطرناک تبدیل شود.

این باج‌افزار با نام PyCL بوسیله‌ی زنجیره‌ی آلودگی EITest در کیت بهره‌برداری RIG توزیع می‌شود. این کیت‌ بهره‌برداری در حال حاضر بزرگ‌ترین توزیع‌کننده‌ی بدافزار در دنیا است. این باج‌افزار به زبان پایتون نوشته شده و نام اسکریپت آن cl.py است و به‌همین دلیل نیز PyCL نامگذاری شده است.

این باج‌افزار برای اولین بار، روز یک‌شنبه به کیت بهره‌برداری RIG اضافه شده و از وب‌گاه‌های مورد نفوذ قرار گرفته استفاده می‌کند. قربانیان از این وب‌گاه‌های آلوده به سمت وب‌گاهی که کیت بهره‌برداری میزبانی می‌شود، هدایت می‌شوند تا از آسیب‌پذیری‌های سامانه‌ی آن‌ها برای آلودگی‌های بیشتر بهره‌برداری شود. با این حال باج‌افزار PyCL فقط یک روز مشاهده شده و کارشناسان امنیتی معتقدند این ظهور صرفاً برای آزمایش بدافزار بوده است.

این باج‌افزار توسط نصب‎کننده‌ی NSIS توزیع شده و حاوی بسته‌ی پایتون است که با استفاده از پرونده‌های داخل این بسته، پرونده‌های قربانی رمزنگاری شده و آموزش‌های لازم برای پرداخت باج به قربانی داده می‌شود. به‌نظر می‌رسد این باج‌افزار در مرحله‌های مختلف پردازش در حین رمزنگاری، اطلاعات وضعیتی خود را برای کارگزار دستور و کنترل ارسال می‌کند تا توسعه‌دهندگان را از وضعیت انجام حمله مطلع کند.

دیوید مارتینز، یکی از محققانی است که این بدافزار را کشف کرده است. او یک پرونده با نام user.txt را در پرونده‌ی نصب‌کننده کشف کرده و متوجه شده در این پرونده یک رشته وجود دارد که در هر درخواست، برای کارگزار دستور و کنترل ارسال می‌شود. به گفته‌ی کارشناسان امنیتی، این باج‌افزار بخشی از برنامه‌ی باج‌افزار به‌عنوان سرویس است که در آن نام کاربری، شناسه‌ی مختص به هر قربانی است.

مشاهده شده که باج‌افزار در مرحله‌ی اول، سامانه‌ی قربانی را برای وجود دسترسی‌ها و امتیازات مدیریتی بررسی می‌کند. در ادامه نیز بدافزار نسخه‌ی ویندوز قربانی را به همراه اطلاعات دیگری مانند امتیازات مدیریتی، معماری پردازنده، نام رایانه، نام کاربری و آدرس MAC کارت شبکه، برای کارگزار دستور و کنترل ارسال می‌کند.

باج‌افزار PyCL برای رمزنگاری پرونده‌ها از الگوریتم AES استفاده کرده و برای هر پرونده از کلیدهای ۲۵۶ بیتی منحصربفرد بهره می‌برد. در ادامه نیز فهرستی از پرونده‌های رمزنگاری‌شده را به همراه کلید رمزگشایی آن‌ها در یک پرونده با نام تصادفی در پوشه‌ی CL ذخیره می‌کند. در نهایت این فهرست و پرونده را با الگوریتم RSA با کلید عمومی ۲۰۴۸ بیتی رمزنگاری می‌کند.

در حالی‌که بسیاری از باج‌افزارها پرونده‌ها را با نسخه‌ی رمزنگاری‌شده‌ی آن‌ها جایگزین می‌کنند، نسخه‌ی فعلی این بدافزار، نسخه‌ی اصلی پرونده‌ها را در دیسک باقی می‌گذارد، به‌عبارت دیگر لازم نیست کاربر برای برگرداندن پرونده‌های خود هیچ باجی را پرداخت کند. در نهایت باج‌افزار PyCL یک صفحه‌ی باج‌خواهی را به قربانی نشان می‌دهد که در آن یک زمان‌سنج به مدت ۴ روز، آدرس بیت‌کوین و مقدار باج را نمایش می‌دهد.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

پویش آزمایشی باج‌افزار PyCL در دنیای واقعی مشاهده شد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *