وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • انتشار باجگیر CryptoLuck در سایتهای غیراخلاقی

    سهرابی نیا پنج شنبه ۲۱ بهمن ۱۳۹۵ امنیت

     

    هکرها برای نفوذ و آلوده نمودن کامپیوتر قربانیان خود پیش از هر چیز از غفلت و ناآگاهی آنان سود می برند و سعی می‌کنند با ارائه محتوای جذاب و اغواگر آن‌ها را به سمت اجرای برنامه‌های آلوده هدایت کنند. با توجه به این نکته و عدم نظارت بر محتوای صفحات غیراخلاقی، این صفحات تله‌های خوبی برای به دام انداختن کاربران هستند. ارائه‌ی برنامه‌های مخرب از طریق این صفحات یکی از روش‌های متداول مورد استفاده هکرها است و بسیاری بدافزارها از این طریق منتشر می‌شوند.

    باج افزار CryptoLuck نوع جدیدی از خانواده بدافزارها است که توسط Kafeine  شناسایی شده و در حال حاضر از طریق RIG-E exploit kit در حال انتشار است

    محققی به نام Kafeine  خانواده ای جدید از باج افزارها ملقب به CryptoLuck را معرفی نمود. این بدافزار با استفاده از اهرم DLL و همچنین سوء استفاده از GoogleUpdate.exe اقدام به آلوده نمودن رایانه ها می‌نماید.

    باج افزار پسوند .[victim_id]_luck  را به فایل های رمزنگاری شده اضافه نموده و قادر است صدها فایل با پسوندهای متفاوت را قفل نماید ضمن این که از فایل هایی که شامل رشته هایی مانند Windows, Program Files, Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin و کوکی ها می‌گذرد.

    باج افزار از کاربر می خواهد مبلغ ۲٫۱Bitcoin  (تقریبا معادل ۱٫۵۰۰ دلار) را ظرف مدت ۷۲ ساعت برای حفظ فایل های رمزنگاری شده اش پرداخت کند.

    باج افزار CryptoLuck به وسیله exploit kit به نام RIG-Empire (RIG-E)  به سیستم قربانی نفوذ می‌کند. کلاهبرداران بزرگ از طریق malvertising وب سایت های بزرگسالان مبارزه خود را آغاز می کنند اما خوشبختانه از روش های دیگر آلودگی استفاده می کنند.

    باج افزار برای گسترش از فایل RAR SFX شاملcrp.cfg, GoogleUpdate.exe,  و فایل های goopdata.dll استفاده می‌کند که به همراه این دستورالعمل برای استخراج و درج در %AppData%\76ff folder در سکوت کامل GoogleUpdate.exe را اجرا می نماید.

    مزیت سوء استفاده از GoogleUpdate.exe این است که این برنامه توسط خود گوگل نیز تایید شده است، و نویسنده باج افزار CryptoLuck از فایل مخربی به نام goopdate.dll در بسته خود برای بارگزاری برنامه در حافظه استفاده می‌کند.

    هنگامی که برنامه GoogleUpdate.exe در حال اجراست این برنامه به دنبال فایل های DLL به نام goopdate.dll می‌گردد و آن ها را اجرا می‌کند. مشکل این‌جاست که باج افزار در همان ابتدا فایل‌هایی که در پوشه GoogleUpdate.exe موجود است را نگاه خواهد کرد که این امر به نویسنده بدافزار اجازه می‌دهد فایل goopdate.dll آلوده خود را ایجاد نموده و به وسیله GoogleUpdate آن را اجرا نماید.

    مکانیزم پیاده سازی باج افزار CryptoLuck طوری برنامه ریزی شده است که از شر آنالیز شرکت‌های امنیتی به دور باشد. این باجگیر می تواند تشخیص دهد که آیا بر روی یک ماشین مجازی در حال اجراست یا خیر که در این نمونه خود را متوقف می‌کند. در زمان اجرا، این باج افزار تمامی درایو‌های نصب شده و یا درایو‌های اشتراک گذاشته‌شده unmapped را برای رمزنگاری اطلاعات جستجو می‌نماید.

    باج افزار از یک متد رمزنگاری AES-256 و از یک کلید اختصاصی AES  برای رمزنگاری هر پوشه استفاده می‌کند. این کلید در یک کلید عمومیRSA  جاسازی‌شده و کلید نتیجه رمزنگاریAES  خود در فایل‌ رمزنگاری شده جاسازی‌‎شده است.

    هنگامی که باج افزار رمزنگاری فایل‌ها را به اتمام رساند، یک پیام از شامل دستورالعمل پرداخت باج بر روی صفحه نمایش ظاهر خواهد شد.

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *