خانواده‌ی جدیدی از باج‌افزارهای مبتنی بر .NET، از ابزارهای متن‌باز سوءاستفاده می‌کنند

خانواده‌ی جدیدی از باج‌افزارهای مبتنی بر .NET، از ابزارهای متن‌باز سوءاستفاده می‌کنند

شنبه, ۱۱ آذر, ۱۳۹۶ ساعت ۲۱:۵۹

 

محققان امنیتی هشدار دادند نوع جدیدی از باج افزارهای مبتنی بر NET. کشف شده که از ابزارهای متن باز برای رمزنگاری فایل های قربانیان سوءاستفاده می کنند. این باج افزارها  Vortex و BUGWARE نام داشته و در حملات فعال از طریق هرزنامه ها با لینک های مخرب مشاهده شده اند. هر دوی این باج افزارها در زبان سطح میانی مایکروسافت کامپایل شده و با استفاده از ابزار Confuser بسته بندی شده اند.


باج افزار Vortex به زبان لهستانی نوشته شده و از الگوریتم AES-256 برای رمزنگاری اسناد، تصاویر و ویدئوها و سایر داده‌های مهم قربانیان استفاده می‌کند. مانند دیگر باج‌افزارها، این بدافزار نیز پس از تکمیل فرآیند رمزنگاری، پیغام باج‌خواهی را نمایش می‌دهد که قربانیان چطور باج را پرداخت کرده و فایل‌های خود را بازیابی کنند.


این باج‌افزار دوتا از فایل‌های قربانی را به‌طور رایگان رمزگشایی کرده و ۱۰۰ دلار باج درخواست می‌کند. در صورتی‌که قربانی در عرض ۴ روز، باج را پرداخت نکند، این مقدار به ۲۰۰ دلار افزایش می‌یابد. قربانیان تشویق شده‌اند تا با مهاجمان از طریق آدرس ایمیل [email protected] or [email protected] در تماس باشند. باج‌افزار پس از نصب با ثبت رکورد رجیستری سعی می‌کند تا به سازوکار ماندگاری بر روی سیستم آلوده برسد و یک کلید رجیستری با نام AESxWin ایجاد می‌کند. 


محققان امنیتی زمانی‌که سرور دستور و کنترل متعلق به این باج‌افزار را بررسی کردند، متوجه شدند باج‌افزار اطلاعات سیستم را به سرور ارسال کرده و برای دسترسی به واسط‌های برنامه‌نویسی برای رمزنگاری و رمزگشایی فایل‌ها از سرور پسورد درخواست می‌کند. باج‌افزار Vortex مبتنی بر یک ابزار متن‌باز برای رمزنگاری و رمزگشایی فایل‌ها با نام AESxWin است که بر روی گیت‌هاب وجود داشته و توسط یک توسعه‌دهنده‌ی مصری طراحی شده است. به‌عبارت دیگر اگر پسوردی که برای رمزنگاری استفاده شده است معلوم باشد، با استفاده از AESxWin می‌توان فایل‌ها را رمزگشایی کرد. 


از سوی دیگر باج‌افزار BUGWARE مبتنی بر کدهای Hidden Tear است که تاکنون از آن برای نوشتن باج‌افزارهای مختلفی سوءاستفاده شده است. این بدافزار فهرستی از مسیرها برای رمزنگاری را انتخاب کرده و آن‌ها را در فایلی با نام Criptografia.pathstoencrypt ذخیره می‌کند. همچنین در سیستم قربانی به دنبال درایوهای ثابت، شبکه‌ای و جداشدنی می‌گردد و مسیر آن‌ها را به این فایل اضافه می‌کند. 


باج‌افزار BUGWARE از کلیدها و الگوریتم‌های AES با طول ۲۵۶ بیت برای رمزنگاری فایل‌ها استفاده کرده و نام این فایل‌ها را تغییر می‌دهد. کلیدهای AES مجددا با کلیدهای عمومی RSA رمزنگاری شده و کدشده‌ی base64 آن در رجیستری ثبت می‌شود. این باج‌افزار تصویر پس‌زمینه‌ی دسکتاپ را با تصویری که از i[.]imgur.com/NpKQ3KZ.jpg دانلود کرده، تغییر می‌دهد.

 

منبع
 


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سه + 17 =