Teslacrypt 2.0 تقلیدی از Cryptowall
خانواده ی Teslacrypt از جمله باج افزارهای جدید می باشند: نمونه های این باج افزارها در فوریه سال 2015 شناسایی شد. از آن زمان این بدافزار مخرب از سوی طرفداران بازی های کامپیوتری به طور گسترده در رسانه های جمعی با عنوان ” curse” به تصویر کشیده شد چرا که هدف عمده ی این بدافزار عمدتا انواع فایل های مربوط به بازی ها می باشد.( ذخیره ی بازی، مشخصات کاربری و غیره).
این بدافزار همچنان در مرحله ی توسعه ی فعال می باشد: در ماه های گذشته ظاهر این بدافزار،نام آن ( این بدافزار می تواند به تقلید از Crypto Locker با نام های Teslacrypt و Alphacrypt ظاهر شود)، پسوند فایل های رمزگزاری شده ( ecc,ezz,exx)، همچنین جزئیات اجرایی مرتب تغییر کرده است.
نسخه ی جدید این بدافزار از آنجا که طرح رمزگزاری کاملا پیچیده ای دارد با نسخه ی پیشین متفاوت است، به این معنا که رمزگشایی فایل های رمزگزاری شده در حال حاضر غیرممکن می باشد.همچنین از یک صفحه ی HTML به جای UGI استفاده میکند که این صفحه از تروجان دیگری با نام Cryptowall نسخه برداری شده است.
روند تکامل تهدید
اولین نمونه ی کشف شده توسط آزمایشگاه کسپرسکی نسخه ی 0.2.5 می باشد که اتصلات گرافیکی خود شامل پنجره ی هدر ( window header) را از برنامه ی مخرب cryptolocker به امانت گرفته است.
Teslacrypt 0.2.5
در نسخه ی 0.4.0 طراحان این بدافزار ظاهر آن را کاملا تغییر داده اند.
Teslacrypt 0.4.0
ویژگی های زیر صرفنظر از نوع نسخه ی بدافزار تغییری نکرده است:
- این تروجان به طور مستقل به تولید آدرس bitcoin جدید و منحصر به فرد و همچنین یک “private key”مبادرت ورزیده . این آدرس هم به عنوان ID قربانی و هم جهت دریافت وجه از قربانیان مورد استفاده قرار می گیرد.
- الگوریتم مورد استفاده برای رمز گزاری AES-256-CBC می باشد؛ تمام فایل ها با یک کد رمزگزاری شده است.
- فایل های بزرگتر از 0x 10000000 رمزگزاری نمی شوند.
- سرور های C&C بر روی شبکه ی Tor قرار گرفته اند.این بدافزار از طریق سرویس های عمومی tor 2 web با سرورهای C&C در ارتباط می باشند.
- فایل های رمزگزاری شده دربردارنده ی فایل های الحاقی تطبیق یافته ی مورد استفاده در بازی های کامپیوتری می باشد.
- تروجان، نسخه های shadow را حذف می کند.
- برخلاف داستانهای ترسناکی که از RSA-2048 شنیده شده ،این الگوریتم رمزگزاری توسط این بدافزار در هر شکل مورد استفاده قرار نمی گیرد.
- این تروجان در c++ نوشته شده، در کامپلایر مایکروسافت ساخته شده و الگوریتم رمزگزاری گرافیکی اجرایی آن از کتابخانه ی SSL اقتباس شده است.
حقایق قابل توجه
- نسخه های اولیه ی teslacrypt برای حصول اطمینان از موفقیت پرداخت bitcion بر روی وب سایت http://blockchain.info ساخته شده است. اگر مبلغ پرداختی، دریافت شود ، بدافزار این گزارش را بهCommand Servers ارسال کرده و در نهایت کد رمزگشایی فایل ها ارسال می گردد. این طرح از آنجا که یک متخصص قادر خواهد بود با ارسال درخواست به سرور C&C کد رمزگشایی لازم را بدون پرداخت وجه دریافت کند، آسیب پذیر بود.
- نسخه های 0.2.5 -.0.3.x کد رمزگشایی را در key.dat. ذخیره می ساخت ( با داده های دیگر) .منطقه شامل کدی است که تنها پس از تکمیل رمزگزاری مبدا ، امکان ذخیره ی کد با قطع عملیات رمزگزاری را فراهم می سازد.( برای مثال با خاموش کردن کامپیوتر).بعد از این،کد می تواند از key.dat استخراج شده و برای رمزگشایی تمامی فایل ها مورد استفاده قرار گیرد.
در نسخه ی 0.4.0 فایل key.dat به storage.bin تغییر نام داده است و کد رمزگشایی آشکارا ذخیره نمی شود.
اکنون
اخیرا نمونه ای از نسخه ی 2.0.0 این تروجان توجه محققان را به خود جلب کرده است.اما این بار چه ویژگی هایی تغییر کرده است؟
اولین مورد اینکه teslacrypt دیگر مسئول ارائه ی کد GUI نیست. در عوض این تروجان پس از رمزگزاری فایل ها صفحه ی HTML ی را در مرورگر باز میکند.این صفحه کاملا از صفحه ی باج افزار ناشناس دیگری با نام cryptowall 3.0 نسخه برداری شده است.
این صفحه زمانی باز می شود که یک قربانی یکی از لینک های ارائه شده توسط مجرمان سایبری را دنبال می کند که کاملا نیز مشابه صفحه پرداخت cryptowall می باشد با یک استثناء: URL ها به یکی از سرورهای teslacrypt هدایت می شوند- طراحان این بدافزار قطعا به رقبای خود اجازه ی دریافت پول از قربانیانشان را نخواهند داد.
شاید هدف این مجرمان تحت تاثیر قرار دادن وخامت اوضاع قربانیانشان می باشد: فایل های رمزگزاری شده توسط cryptowall همچنان غیر قابل رمزگشایی می باشد که در مورد بسیاری از آلودگی های Teslacrypt صادق نمی باشد.
در هر صورت این تنها تغییر این نسخه نمی باشد.طرح رمزگشایی مجددا تغییرکرده و حالا به نسبت قبل پیچیده تر نیز شده است.برای طراحی کد ها از الگوریتم ECDH استفاده شده است. مجرمان سایبری نسخه ی 0.3.x را معرفی ساخته اند اما به نظر می رسد این نسخه مناسب بوده باشد چراکه در خدمت یک هدف خاص بوده و مجرمان را قادر به رمزگزاری فایل ها تنها با استفاده از “master key” می سازد.
منبع :securelist.com
