باج‌افزار GandCrab از طریق بهره‌برداری آژانس امنیت ملی آمریکا گسترش می‌یابد

 

بدافزار GandCrab، یک خانواده‌ی باج‌افزاری که در ماه‌های اخیر به‌روزرسانی‌های زیادی را دریافت کرده و اکنون با بهره‌برداری از بهره‌برداری اترنال‌بلو متعلق به آژانس امنیت ملی آمریکا (NSA) تلاش می‌کند تا دستگاه‌های ویندوز XP را آلوده نماید. این بدافزار معمولا از طریق ایمیل‌های هرزنامه گسترش می‌یابد، اما GandCrab 4 که اوایل ماه جاری منتشر شد، از طریق وب‌سایت‌های آسیب‌دیده توزیع می‌شود. این بدافزار به انتهای فایل‌های رمزنگاری‌شده پسوند KRAB. را اضافه می‌کند. نسخه‌ی جدید بدافزار که تغییرات اساسی از نظر ساختار کد را شامل می‌شود، برای رمزنگاری داده‌ها از Salsa20 استفاده کرده و برخی از قابلیت‌های قدیمی‌تر را نیز حذف کرده است. مهم‌تر از همه، دیگر برای رمزنگاری فایل‌ها، نیازی به سرور دستور و کنترل (C & C) نیست.


برای آخرین نسخه از بدافزار، وب‌سایت‌های آلوده‌ی بسیاری مشاهده شده است که صفحات مخرب به آن‌ها تزریق شده‌اند. این صفحات بلافاصله کاربران را به صفحه‌ی جداگانه‌ای هدایت می‌کنند که حاوی لینک واقعی دانلود بوده و منجر به دانلود GandCrab می‌شود. محققان امنیتی می‌گویند که فایل اجرایی بدافزار و لینک‌های دانلود به‌صورت مرتب به‌روز می‌شوند. در حقیقت، چند روز پس از انتشار نسخه‌ی ۴، نویسندگان باج‌افزار نسخه‌ی ۴٫۱ از GandCrab  را منتشر کردند.


مهم‌تر از همه، همان‌طور که محقق امنیتی، کوین بومانت، کشف کرده است، این باج‌افزار تلاش می‌کند تا از طریق بهره‌برداری از EternalBlue SMB آژانس امنیت ملی آمریکا گسترش یابد. جالب‌ترین جنبه‌ی این قابلیت جدید این واقعیت است که سیستم‌های ویندوز XP و ویندوز سرور ۲۰۰۳ همچنان همراه با سیستم عامل‌های مدرن مورد هدف قرار می‌گیرند. بهره‌‌برداری اترنال‌بلو یک اشکال امنیتی در بلوک پیام سرور (SMB) ویندوز بر روی پورت ۴۴۵ را هدف قرار می‌دهد. با این حال، این نقص‌ها تنها نسخه‌های قدیمی سیستم عامل و عمدتا ویندوز XP و ویندوز ۷ را تحت تاثیر قرار می‌دهند.


مایکروسافت این آسیب‌پذیری که اترنال‌بلو را هدف قرار می‌دهد را پیش از آن‌که عمومی شود، وصله کرد و حتی برای محافظت از کاربران در برابر باج‌افزار WannaCry، یک وصله‌ی اضطراری نیز برای ویندوز XP منتشر کرد. بنابراین، بهترین دفاع در برابر باج‌افزار GandCrab و هر بدافزاری که از طریق اترنال‌بلو گسترش می‌یابد، این است که وصله‌ی موجود برای تمام سیستم عامل‌ها، از جمله سیستم عامل‌های قدیمی‌تر مانند ویندوز XP و ویندوز سرور ۲۰۰۳ اعمال شود.


محققان امنیتی توضیح دادند: «بسیاری از محصولات ضدبدافزار، پشتیبانی خود از ویندوز XP و ویندوز سرور ۲۰۰۳ را کاهش داده‌اند، که باعث بروز مشکاتی شده است. به کاربران توصیه می‌شود که برای حفظ امنیت خود چیزی را از BitTorrent دانلود نکرده، نرم‌افزار ناشناخته نصب نکنند، Keygenها را اجرا نکرده و کارت‌های USB را به‌صورت تصادفی به سیستم خود متصل نکنند.»
 

منبع

پست‌های مشابه

Leave a Comment