-
بدافزار مخرب Nemucod باج افزار teslacrypt را در سراسر جهان منتشر کرده است.
در هر زمانی ، برخی کمپین های نشر بدافزارها بالاترین سطح ترویج و انتشار بدافزار را در بین یک یا چند کشور در طی چند روز به دست می آورند، در این بین کاربران، چنانچه به درستی از سیستم های خود محافظت به عمل نیاورند، بیشترین سطح آسیب پذیری را دارند.
در هفته ی گذشته یکی از این کمپین ها به راه افتاده است. زمانی که کارشناسان امنیتی متوجه افزایش هرچه بیشتر تروجان Nemucod شدند. این تهدید از طریق اینترنت اقدام به دانلود بد افزار دیگری می کند. آمار انتشار این بدافزار در برخی کشورها بیشتر بوده اما به طور کلی در سراسر جهان تکثیر شده است و نشان دهنده ی کمپینی است که بر روی یک کشور خاص تمرکز نداشته و در صدد است که کاربران زیادی را در سراسر جهان آلوده سازد.
-
شما یک ایمیل آلوده دریافت کرده اید.
همانند بسیاری از حملات بدافزاری دیگر ، مهاجمان این بدافزار نیز از طریق ارسال ایمیل آلوده مسیر خود را دنبال می کنند. با استفاده از اسناد جعلی، تلاش دارند کاربر را متقاعد کنند که فایل پیوست با پسوند ZIP را باز کند. ارسال کننده ی ایمیل اغلب آخرین فردی می باشد که خود به این حمله گرفتار شده است، به این ترتیب تا زمانی که قربانیان دیگری وجود دارند انتشار این بدافزار ادامه می یابد.
چنانچه فایل ZIP پیوست را باز کنیم، تفاوت قابل ملاحظه ای با نمونه های آنالیز شده ی اخیر می یابیم. به جای مشاهده ی فایل EXE، فایل ZIP حاوی فایل Javascript می باشد. احتمالا این مهاجمان از این تکنیک به منظور جلوگیری از تشخیص توسط Mail Scanner ها و دستیابی به تعداد بیشتری از قربانیان استفاده کرده اند.
-
استفاده از Javascript برای دانلود Payload
در هر صورت فایل javascript یک فایل اجرایی می باشد و می تواند به اندازه ی فایل EXE خطرناک باشد. با نگاهی کوتاه به کد فایل به چند نکته ی جالب پی خواهیم برد. نکته ی اول اینکه به نظر می رسد در استفاده از بسیاری از متغیر ها از نام های تصادفی استفاده شده است. علاوه بر این دو نوع آرایش در کد ها دیده می شود، که می تواند راهی برای آلوده سازی IP ها و آدرس های وبی باشد که این مجرمان برای انتشار این بدافزار از آن استفاده می کنند.
کارشناسان امنیتی ESET موفق به کشف دو حوزه برای انتشار نوع جدید باج افزار Teslacript شده اند ( کشف شده توسط ESET به عنوان Win32/Filecoder.EM ). یکی از این حوزه ها متعلق به یک وب سایت آلمانی است در صورتی که دیگری به تازگی طراحی شده است و می توانید در تصویر پایین آن را ملاحظه فرمایید.
در حقیقت در این وب سایت هیچ چیز وجود ندارد و فقط یک هشدار اعلام می کند که این وب سایت در حال راه اندازی می باشد. محققان امنیتی بر این باورند که با اطمینان نمی توان گفت که این وب سایت به نشر بدافزار مبادرت می ورزد اما حداقل تاریخ ثبت این وب سایت مشکوک می باشد.
-
آلوده شدن کاربران توسط Teslacript
همانطور که پیش تر نیز گفته شد یکی از بدافزارهایی که از وب سایت های آلوده دانلود می شود نوع جدید Teslacript می باشد. این فایل مخرب، اجرایی بوده و تنها از اعداد به جای اسامی استفاده کرده است.
با اجرا شدن این فایل، بدافزار نسبت به رمزگذاری فایل هایی از قبیل عکس ها ، ویدئو ها، فایل های office و برخی فایل های دیگر اقدام می کند. و زمانی که این کار به اتمام رسید صفحه ی زیر در مرور گر وب به نمایش در می آید. این نمونه توسط گروه بدافزارها مورد استفاده قرار گرفته و به قربانی می گوید که باید برای بازیابی اطلاعات شخصی خود مبلغ مشخصی وجه پرداخت نماید.
هر فولدر رمزگذاری شده پردازنده ی یک فایل متنی (text file ) نیز می باشد. در این متن دستورالعملی مشابه دستورالعمل فایل HTML وجود دارد البته با مقداری تناقض. برای مثال در فایل HTML عنوان شده که بدافزار از رمز RSA-2048 استفاده کرده در حالی که در فایل text عنوان می شود که از این رمز استفاده شده RSA-4096.
در هر حال، به رغم الگوریتم های رمزگذاری استفاده شده، در اغلب موارد فایل، قابلیت بازیابی نداشته و کاربران فایل ها و داده های خود را از دست خواهند داد.
-
نتیجه گیری
این کمپین جدید نسبت به قبلی قربانیان کمتری داشته است، اما با توجه به آمار باید گفت طی چند روز، حجم ایمیل هایی که برای نشر این تهدید ارسال گردیده، بسیار زیاد بوده است.
و این موضوع که تعداد قربانیان این حمله نسبت به تهدید قبلی ،علی رغم انتشار زیاد این تهدید در سراسر جهان، کمتر بوده است، خبر بسیار خوبی میباشد. این بدان معنی است که کاربران با بهره مندی از اقدامات امنیتی قادر به کشف تهدیدات جدید بوده و یا اینکه کاربران فایل های پیوست مشکوک دریافت شده در ایمیل را اجرا نمی کنند.
در هر صورت کاربران می توانند همچنان به منظور جلوگیری از مشکلات ایجاد شده توسط بدافزارها به دنبال ارتقا سطح امنیتی خود باشند که یکی از این اقدامات می تواند تهیه ی نسخه ی پشتیبان از فایل های مهم به منظور بازیابی آن در سریعترین زمان ممکن باشد.
منبع: www.welivesecurity.com
