باج‌افزار CTB-Locker و استفاده از WinRAR برای رمزنگاری

11 تیر 1395
نویسنده :  

دنیای باج‌افزاری از اوایل امسال مملو از نمونه‌های خطرناک بسیاری بوده است که در این فهرست طولانی تقلیدکننده‌ها و جدیداً بدافزارهای جاعل نیز دیده می‌شود.

 

با اینکه عجیب به نظر می‌رسد که یک باج‌افزار سعی در پیروی و تقلید از باج‌افزار دیگری داشته باشد، اما CTB-Faker که به‌تازگی کشف شده و نه تنها ادعا می‌کند CTB-Locker معروف حال حاضر است، بلکه در واقع نشان می‌دهد این امر ممکن است. این باج‌افزار جدید شبیه به هیچ‌کدام از نمونه‌های مشاهده‌شده قبلی نیست اما همانند بقیه سعی در به سرقت بردن پول از قربانیان دارد.

 

با اینکه در متن درخواست باج از جانب CTB-Faker نوشته‌شده که CTB-Locker پرونده‌ها را رمزنگاری کرده، اما این ادعا واقعیت ندارد. CTB-Faker به‌جای تزریق باج‌افزار به explorer.exe تا با روشن کردن رایانه باج‌افزار نیز راه‌اندازی شود و شروع به رمزنگاری پرونده‌ها با استفاده از این آلودگی کند (همانند کاری که CTB-Locker انجام می‌دهد) این باج‌افزار از اسکریپت‌های مختلفی استفاده می‌کند و از WinRAR برای رمزنگاری بهره می‌برد.

 

طبق گفته محققان Check Point، این خانواده باج‌افزاری جدید از WinRAR برای رمزنگاری استفاده میکند زیرا اجرای آن آسان است و این برنامه شامل گزینه محافظت از کلمه عبوری است که به بدافزار برای رسیدن به هدفش کمک می‌کند. علاوه بر این، برنامه اصلی و قانونی شامل گزینه‌ای برای حذف پرونده‌های اصلی پس از سوءاستفاده و رمزنگاری شدن است.

هنگامی‌که باج‌افزار سامانهای را آلوده کرد، برای راه‌اندازی به دخالت کاربر نیاز دارد و پس‌ از اینکه آن را راه‌اندازی کرد نسخه دیگری از خودش تهیه می‌کند و درخواست دسترسی به امتیاز ویژه مدیر می‌کند. باج‌افزار پس‌ از اینکه به این امتیاز ویژه دسترسی یافت، چهار نسخه wscript.exe با اسکریپت‌های vbs مختلف ساخته ‌شده توسط CTB-Faker را راه‌اندازی می‌کند.

بررسی دقیق‌تر این بدافزار نشان می‌دهد که این بدافزار فرمت پرونده‌های آلوده‌شده را به .zip تغییر می‌دهد و تمامی پرونده‌ها را پس از رمزنگاری حذف و winRAR را در پس‌زمینه راه‌اندازی می‌کند. این باج‌افزار گزینه‌هایی هم برای تنظیم سطح آلودگی، تنظیم مقصد پرونده‌های رمزنگاری‌شده و خاموش کردن رایانه پس از ذخیره پرونده‌های درخواستی دارد.

محققان حفره بزرگی در این باج‌افزار نیز پیدا کردند: از p4w1q3x5y8z برای تنظیم کلمه ‌عبور برای آرشیوهای تازه‌ساخت و تبدیل به p4w1q3x5y8z استفاده می‌شود. اصولاً این کلمه ‌عبور باعث رمزگشایی رایگان پرونده‌ها می‌شود  در حالی‌که بدافزار نیز متن درخواست باج را ارسال می‌کند که در آن 50 دلار می‌‌خواهد و ادعا می‌کند که CTB-Locker پرونده‌های کاربر را با استفاده از SHA-512 و RSA-4096 رمزنگاری کرده است.

طبق گفته محققان، باج‌افزار هیچ فعالیت شبکه‌ای ندارد یعنی کلمه عبوری با کارگزاری خارجی تبادل نشده است و این به این معنی است که کلید p4w1q3x5y8z مذکور تنها برای یک رمزنگاری استفاده می‌شود.

طبق گزارش BleepingComputer، این باج‌افزار از دو آدرس بیت کوینی در متن درخواست باج استفاده می‌کند، اما هنگام بررسی تنها یکی از آن‌ها فعال بوده است. مجرمان سایبری پشت این باج‌افزار از دو رایانامه برای ارسال کلمه عبور پرونده‌های رمزنگاری‌شده استفاده می‌کنند: help(at)openmailbox.org و miley(at)openmailbox.org.

6560 تعداد بازدید
مدیر سایت

داود بریهی

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد