روزانه 300 هزار بدافزار جدید تولید می شود! آماری از تهدیدات سال 2023 و آنچه در 2024 پیش رو خواهیم داشت!
14 آذر 1402
طبق آمار رسمی اکنون مناطق اصلی مورد هدف این حملات آمریکای لاتین و خاورمیانه هستند.
تحلیل فنی و جزئیات بیشتر را در ادامه بررسی می کنیم:
این باج افزار توسط کسپرسکی با عناوین زیر شناسایی می شود:
در اواخر سال 2016، حملات عمده ای علیه آژانس حمل و نقل شهری سان فرانسیسکو رخ داد. این حمله با استفاده از باج افزار Mamba انجام شد .
**این باج افزار از یک ابزار به نام DiskCryptor برای رمزگذاری کامل دیسک استفاده می کند.
هم اکنون، لازم است بدانید، گروهی که در پشت این باج افزار قرار دارد، حملات خود را علیه سازمان و شرکت ها از سر گرفته است.
به طور معمول، این گروه دسترسی یک شبکه سازمانی را به عهده گرفته و از ابزار psexec برای اجرای باج افزار استفاده می کند. همچنین لازم به ذکر است که برای هر دستگاه در شبکه هدف، یک رمز عبور برای ابزار DiskCryptor تولید می کند. این رمز عبور از طریق خط فرمان به باج افزار منتقل می شود.
مثالی از اجرای این بدافزار
• ایجاد پوشه “C: \ xampp \ http”
• ایجاد اجزای DiskCryptor در این پوشه
• نصب درایور DiskCryptor
• خدمات سیستم را به نام DefragmentService ثبت می کند
• راه اندازی مجدد دستگاهی که هدف حمله قرار گرفته است
مرحله 2 (رمزگذاری) :
• راه اندازی bootloader به MBR و رمزگذاری پارتیشن های دیسک با استفاده از نرم افزار DiskCryptor
•پاک کردن
• راه اندازی مجدد دستگاه قربانی حمله
مرحله 1 (آماده سازی)
همانطور که تروجان از ابزار DiskCryptor استفاده می کند، مرحله اول با نصب این ابزار بر روی یک دستگاه قربانی عمل می کند.
دراپر مخرب ماژول های DiskCryptor را در منابع خود ذخیره می کند.
ماژول های DiskCryptor
بسته به اطلاعات سیستم عامل، بدافزارها قادر به انتخاب بین یک ماژول DiskCryptor 32 یا 64 بیتی هستند. ماژول های مورد نیاز به پوشه “C: \ xampp \ http” انتقال خواهند یافت.
بدافزار ماژولهای مور نیاز را انتقال داده و پس از آن، DiskCryptor نصب شده را راه اندازی می کند .
فراخوانی Installer DiskCryptor
زمانی که DiskCryptor نصب می شود، بدافزار یک سرویس با پارامترهای SERVICE_ALL_ACCESS و SERVICE_AUTO_START ایجاد می کند.
ایجاد تابع سرویس مخرب
آخرین قدم از مرحله 1 راه اندازی مجدد سیستم می باشد.
نیروی عملکرد مجدد راه اندازی
با استفاده از نرم افزار DiskCryptor، بدافزار bootloader جدید را در MBR نصب می کند.
فراخوانی راه اندازی یک Bootloader به MBR
bootloader حاوی پیام درخواست باج در قبال رمزگشایی، برای قربانی است.
پیغام باج افزار
پس از تنظیم bootloader، پارتیشن های دیسک توسط یک رمز عبوری که قبلا در خط فرمان برای دراپر مشخص شده است رمزگذاری می شود
فراخوانی درخت حاوی فرایندهای رمزنگاری
هنگامی که عملیات رمزگذاری به پایان می رسد، سیستم مجدد راه اندازی خواهد شد و قربانی یک پیغام درخواست باج روی صفحه خود مشاهده می کند.
پیغام درخواست باج
محصولات کسپرسکی این تهدید را با کمک کامپوننت System Watcher و با عنوان PDM: Trojan.Win32.Generic شناسایی می کند.
رمزگشایی
متاسفانه هیچ راهی برای رمزگشایی داده هایی که با استفاده از ابزار DiskCryptor رمزگذاری شده اند، وجود ندارد، زیرا یک ابزار قانونی است که از الگوریتم های رمزنگاری قوی استفاده می کند.
منابع :
از سال ۱۳۸۴ به عنوان شرکتی پیشرو در زمینه “امنیت شبکه” فعالیت خود را آغاز کرد و با اخذ مجوزهای مربوطه و همچنین با بهره گیری از تیمی متخصص و حرفه ای در جایگاه یکی از معتبرترین فعالان این صنعت قرار گرفته است.