باجافزار Apocalypse؛ پروتکل کنترل از راه دور رایانه
پروتکل کنترل از راه دور رایانه، روشی که باجافزار Apocalypse برای حملات خود از آن استفاده میکند.
یکی از روشهای جدید کار در باجافزارها استفاده از پروتکل کنترل از راه دور رایانه برای آلوده کردن دستگاههاست. محققان شرکتEmsisoft با هشدار در این زمینه اعلام کردهاند یک گروه از باجافزارها جدیداً در حال استفاده از این روش هستند.
در ابتدای ماه می، یک باجافزار با نام Apocalypse شناسایی شد. این باجافزار با استفاده از کلمات عبور ضعیف در کارگزارهای نامطمئن ویندوز اقدام به کنترل از راه دور رایانهها کرده و از این رایانهها بهعنوان اولین و مهمترین عامل حمله خود استفاده میکرد. این باجافزار با استفاده از پروتکل کنترل از راه دور رایانه، میتواند تمام عوامل حمله خود را وارد رایانه کند. در این شرایط نیز عوامل طراح این باجافزار میتوانند از رایانه آلودهشده هر استفاده ممکن را بکنند.
بنا به تحقیقات و مشاهدات محققان شرکت Emsisoft، اولین نوع طراحیشده از این باجافزار اقدام به نصب %appdata%\windowsupdate.exe میکند و سپس این بخش اقدام به ساخت یک کلید اجرا با نام windows update در دو بخش HKEY_CURRENT_USER و HKEY_LOCAL_MACHINE میکند. این باجافزار سپس پسوند encrypted. را به نام پروندههای رمزنگاریشده ضمیمه میکند و یک یادداشت باجخواهی را در کنار هر پرونده قرار میدهد. این باجافزار در پایان نشانیهای رایانامهای زیر را در یادداشت باجخواهی قرار میدهد:
dr.compress(at)us۱.l.a/ dr.compress(at)bk.ru/
dr.jimbo(at)bk.ru/
dr.decrypter(at)bk.ru/
نوع دوم طراحیشده این باجافزار در اوایل ماه ژوئن مشاهده شد. این نوع با نصب عامل خطر %ProgramFiles%\windowsupdate.exe اقدام به ساخت یک کلید اجرا با نام windows update svc میکند و در یادداشت باجخواهی خود، نشانی رایانامهای decryptionservice@mail.ru را قید میکند. در تاریخ ۲۲ ژوئن، نوع سوم این باجافزار نیز کشف شد که با نصب %ProgramFiles%\firefox.exe و ایجاد یک کلید اجرا با نام firefox update checker مقدمات حمله خود را فراهم میکند. این نوع در پایان با ضمیمه کردن پسوند SecureCrypted. به پایان نام پروندهها، اقدام به ساخت یادداشت باجخواهی میکند و نشانی رایانامهای recoveryhelp@bk.ru را در یادداشت خود عنوان میکند.
این باجافزار قبل از آلوده کردن سامانه، در مورد زبان پیشفرض سامانه بررسیهایی را انجام میدهد. درصورتیکه زبان سامانه روسی، اوکراینی و یا بلاروسی باشد، کار خود را ناتمام رها خواهد کرد. درصورتیکه زبان پیشفرض در میان این زبانها نباشد، باجافزار خود را به پرونده %ProgramFiles%\firefox.exe کپی میکند و سپس ویژگی این پرونده اجرایی را به مخفی و سامانهای تغییر میدهد و در ادامه، برچسب زمانی پرونده را با استفاده از explorer.exe اصلاح میکند. پسازاین مراحل، باجافزار یک مقدار اجرایی را به کار میاندازد تا از این طریق اطمینان حاصل شود این مقدار در هر بار راهاندازی رایانه اجرا میشود.
این باجافزار پس از نصب شدن، پرونده جدید firefox.exe را اجرا میکند. این پرونده مأمور اجرای دو کار در رایانه آلودهشده است: بررسی مرتب و متناوب اجرای برخی فرآیندهای ویندوز و پایان دادن به آنها در صورت اجرا و همچنین شروع رمزنگاری به روش عادی. این باجافزار همچنین یک لیست از درایوهای شبکهای قابلحذف، تعمیر شده و دارای قابلیت کنترل از دور را فراهم میکند. در اینجا نکته قابلذکر این است که این باجافزار در مورد درایوهای شبکهای دور از دسترس رمزنگاری را انجام نمیدهد. محققان دلیل این امر را وجود یک اشکال در بخش رمزنگاری مرتبط با این درایوها میدانند.
این باجافزار بعد از فراهم کردن این لیست، اقدام به اسکن تمامی پوشهها میکند و سپس تمام پروندههای موجود در این پوشهها را رمزنگاری میکند. در این میان تنها پروندههای موجود در پوشههای ویندوز و همچنین پروندههایی که در پایان نام خود پسوندهای زیر رادارند، رمزنگاری نمیشوند:
.exe,.dll,.sys,.msi,.com,.lnk,.tmp,.ini,.SecureCrypted,.bin,.bat,.dat,.Contact_Here_To_Recover_Your_Files.txt.
این باجافزار قبل از رمزنگاری یک پرونده، اقدام به بازبینی آن میکند تا اطمینان حاصل شود پرونده قبلاً رمزنگاری نشده باشد. درصورتیکه این اتفاق رخ نداده باشد، باجافزار اقدام به رمزنگاری محتوای پرونده میکند. این کار با استفاده از الگوریتم XOR محور انجام میشود. نوع این الگوریتم در میان سه نوع موجود از این باجافزار اندکی متفاوت است. این باجافزار بعدازاین مراحل عدد جادویی و همچنین محتوای رمزنگاریشده را وارد پرونده میکند و در پایان پسوند SecureCrypted. را به نام پرونده ضمیمه میکند.
باجافزار Apocalypse همچنین در کنار این اقدامات، برچسب زمانی پرونده اصلی را حفظ میکند و سپس یادداشت باجخواهی را در پرونده قرار میدهد. این باجافزار همچنین پنجرهای را طراحی میکند که همزمان با باز شدن یادداشت باجخواهی اجرا میشود و کاربر هر دو را میبیند. محققان همچنین اعلام کردند که نویسندگان و طراحان این باجافزار با ارسال یک رمز به شرکت Emsisoft، یک پیام توهینآمیز را درون آن قرار دادهاند.
محققان شرکت Emsisoft بر این باورند که نرمافزارهای ضد بدافزار در مورد این باجافزارها کارایی لازم را ندارند. دلیل این امر این است که نفوذگران با کنترل از راه دور یک رایانه آلودهشده، به تمام بخشهای آن دسترسی دارند و بنابراین میتوانند بخشهای امنیتی و حفاظی رایانه را غیرفعال کنند. درعینحال، یک رمزگشا در اختیار تمامی کاربران موردحمله این باجافزار قرار دادهشده است که با استفاده از آن میتوان تمامی پروندههای آلودهشده را بهصورت رایگان بازگرداند.
شرکت Emsisoft همچنین خاطرنشان کرد: «مهمترین خط دفاعی در اینگونه موارد استفاده از کلمه عبور مناسب است. این راهکار برای تمامی کاربران و حسابهای آنها لازمالاجرا است. این راهکار حتی برای حسابهایی که بهندرت از آنها استفاده میشود نیز ضروری است. این حسابها ممکن است بهمنظور آشنایی و آزمایش و یا برای استفاده از یک برنامه اصلی، ساختهشده باشند، اما درعینحال استفاده از راهکار کلمه عبور امن در مورد این حسابها هم توصیه میشود. همچنین نکته مهم و ضروری که در این زمینه توصیه میشود، غیرفعال کردن سامانههای کنترل از راه دور رایانه، در صورت عدم استفاده از آنهاست. راهکار دیگر اعمال محدودیتهای مرتبط با آدرس IPبهمنظور دسترسی این سامانهها از شبکههای امن است.»
- ۹۵/۰۴/۱۵
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.