شناسایی باج‌افزار جدیدِ مبتنی بر پایتون که شبیه به باج‌افزار Locky رفتار می‌کند

شناسایی باج‌افزار جدیدِ مبتنی بر پایتون که شبیه به باج‌افزار Locky رفتار می‌کند

پنج شنبه, ۲۲ شهریور, ۱۳۹۷ ساعت ۱۴:۲۳

 

محققان امنیتی باج‌افزار جدیدی را در ماه جولای و آگوست مشاهده کرده‌اند که سعی دارد شبیه به باج‌افزار معروف Locky رفتار کند. این باج‌افزار در سال ۲۰۱۶ میلادی فعالیت بسیار زیادی داشت. این باج‌افزار جدید با زبان برنامه‌نویسی پایتون توسعه داده شده و PyLocky نام دارد. با استفاده از ابزار PyInstaller نیز بسته‌بندی شده که برنامه‌های کاربردی را به برنامه‌های اجرایی تبدیل می‌کند. چیزی که این باج‌افزار جدید را از بدافزارهای دیگرِ مبتنی بر پایتون متمایز می‌کند، قابلیت ضد یادگیری ماشین در آن است. محققان اعلام کردند این باج‌افزار همچنین از پروژه‌ی متن‌باز Inno Setup Installer  استفاده کرده و در حالت کلی در برابر تحلیل‌های ایستا مقاومت بالایی دارد. 


نکته‌ی جالب توجه دیگر در خصوص این باج‌افزار، توزیع متمرکز آن است. هرزنامه‌های حاوی این بدافزار به سمت کاربران در کشورهای اروپایی و به ویژه فرانسه ارسال شده و تعداد هرزنامه‌ها با مرور زمان رفته رفته بیشتر می‌شود. در این هرزنامه‌ها از تکنیک‌های مهندسی اجتماعی استفاده می‌شود. لینکی برای کاربر ارسال شده و او متقاعد می‌شود تا بر روی لینک کلیک کند. در URL مورد نظر یک فایل ZIP وجود دارد که قربانی با دانلود آن، باج‌افزار PyLocky را دریافت می‌کند.


باج‌افزار پس از اینکه بر روی سیستم قربانی نصب شد، تلاش می‌کند برنامه‌ها و اسناد و فایل‌های مختلف را رمزنگاری کند. در مجموع این باج‌افزار قابلیت رمزنگاری ۱۵۰ نوع فایل مختلف را دارد. باج‌افزار از ابزار مدیریت ویندوز (WMI) بهره‌برداری کرده و به ویژگی‌های سیستم قربانی دست پیدا می‌کند. در راستای ویژگی‌های ضد-جعبه‌شنی نیز اگر حافظه‌ی قابل مشاهده در سیستم آلوده کمتر از ۴ گیگابایت باشد، بدافزار تقریبا به مدت ۱۱٫۵ روز به خواب می‌رود و هیچ فعالیتی ندارد. 


باج‌افزار برای رمزنگاری از کتابخانه‌ی PyCrypto  استفاده کرده و الگوریتم ۳DES  را بکار برده است. پس از اتمام رمزنگاری، این باج‌افزار یک پیغام باج‌خواهی را به نمایش گذاشته و با سرور دستور و کنترل خود ارتباط برقرار می‌کند. پیغام باج‌خواهی این بدافزار به زبان‌های انگلیسی، فرانسه، کره‌ای و ایتالیایی نوشته شده و نشان می‌دهد احتمال گسترده شدن حملات آن وجود دارد. 
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو + 5 =