مطالب مطالب

باج افزار BLACKSHADES

محققین امنیتی در تاریخ 5 خرداد سال جاری باج افزاری کشف کردند که قادر است فایل‌های کاربران را رمز کرده و از آنان طلب باج کند. این باج افزار که BLACKSHADES نام دارد، کاربران روس و آمریکایی را مورد هدف قرار داده و تنها مبلغ 30 دلار برای رمزگشایی درخواست کرده است که این مقدار نسبت به دیگر باج افزارها که عموماً مبلغی بین 250 تا 500 دلار درخواست می‌کنند، مبلغ کمی به حساب می‌آید. این باج افزار نیز همانند دیگر باج افزارها عمل کرده و در پایان فایل‌های رمز شده قربانی عبارت "silent." اضافه می‌کند.

1-چالش BLACKSHADES

محققینی که روی این باج افزار کار می‌کنند، متوجه وجود رشته‌های عجیبی در قسمت کد اجرایی شده‌اند که به نظر می‌رسد حاوی پیامی برای محققینی است که روی آن کار می‌کنند. برخی از این عبارات با base64 کد شده‌اند. عبارت کد شده در شکل 1 نشان داده شده است:

 

شکل 1

ترجمه این عبارت YoxcnnotcrackthisAlgorithmynare>idiot< است.

عبارت بعدی نیز در شکل 2 قابل مشاهده است:

 

شکل 2

پس از رمزگشایی این پیام محققان به عبارت روسی вы не можете взломать меня я очень жесткий برخوردند که ترجمه آن you can not hack me, I am very hard می‌شود و می‌گوید "شما نمی‌توانید من را هک کنید، من خیلی سخت هستم".

آخرین عبارت نیز در شکل 3 آورده شده است:

 

شکل 3

که ترجمه آن به صورت زیر است:

Hacked by Russian Hackers in Moscow Tverskaya Street

youaresofartocrackMe

در این پیام‌ها مهاجم، محققین را به چالش کشیده و اعلام کرده است که هک کردن کد این باج افزار بسیار مشکل بوده و آن‌ها نمی‌توانند این کار را انجام دهند.

2-نحوه انتشار

منبع باج افزار BLACKSHADES هنوز مشخص نیست اما یکی از محققین موفق شده است رشته‌ای در کد این باج افزار پیدا کند که حاوی عبارت "YouTube." بوده است. از این‌رو می‌توان احتمال داد که مهاجمین با آپلود کردن ویدئوهایی در قسمت تبلیغات YouTube، یا نرم‌افزار قفل‌شکسته و یا یک وصله تقلبی باج افزار خود را منتشر کرده‌اند.

3-فرآیند رمزنگاری

هنگامی که باج افزار BLACKSHADES اجرا می‌شود، ابتدا با استفاده از دستور زیر، نسخه‌های مختلف فایل Shadow Volume را حذف می‌کند:

cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet

پس از آن به سایت http://icanhazip.com رفته و آدرس IP قربانی را به دست می‌آورد و سپس به Google.com مراجعه می‌کند تا از اتصال به اینترنت سیستم قربانی اطمینان حاصل کند. درصورتی که برنامه نتواند به سایت http://icanhazip.com متصل شود، از کار خواهد افتاد و پیام موجود در شکل 4 را نشان خواهد داد.

 

شکل 4

پس از آن باج افزار یک شناسه یکتا برای قربانی ایجاد می‌کند و اگر سیستم قربانی به اینترنت متصل باشد، آن شناسه را همراه با نام کامپیوتر، نام کاربری، کلید، زمان اجرا و دیگر اطلاعات، در کارگزار کنترل و فرمان بار گزاری می‌کند. 

این باج افزار برخی پوشه‌ها در درایور C: را با استفاده از AES-256 رمز کرده و فایلی با نام YourID.txt را نیز که حاوی شناسه کاربر است، در هر پوشه قرار می‌دهد. هنگامی که دسکتاپ[1] نیز رمز شد، باج افزار فایل Ваш идентификатор که به معنی "شناسه شما" است را در آن قرار می‌دهد. پوشه‌های رمز شده در درایور C: به شرح زیر است.

%Userprofile%\Downloads
%Userprofile%\Documents
%Userprofile%\Desktop
%Userprofile%\Pictures
%Userprofile%\Music
%Userprofile%\Videos
C:\Users\Public

برخلاف درایور C:، در دیگر درایورها هر فایلی که اسکن شود، رمز خواهد شد. پس از رمز کردن هر فایل، عبارت "silent." در انتهای آن قرار می‌گیرد، به عنوان مثال فایل test.jpg به صورت test.jpg.silent درخواهد آمد. فایل‌هایی که فرمت‌های زیر را داشته باشند، توسط این باج افزار رمز خواهند شد:

.vb,.cs,.c,.h,.html,.7z,.tar,.gz,.m4a,.wma,.aac,.csv,.rm,.txt,.text,.zip,.rar,.m,.ai,.cs,.db,.nd,.xlsx,.pl,.ps,.py,.3dm,.3ds,.3fr,.3g2,.ini,.xml,.jar,.lz,.mda,.log,.mpeg,.myo,.fon,.gif,.JNG,.jp2,.PC3,.PC2,.PC1,.PNS,.MP2,.AAC,.3gp,.ach,.arw,.asf,.asx,.avi,.bak,.bay,.mpg,.mpe,.swf,.PPJ,.cdr,.cer,.cpp,.cr2,.crt,.crw,.dbf,.dcr,.html,.xhtml,.mhtml,.asp,.dds,.der,.des,.dng,.doc,.dtd,.dwg,.dxf,.CSS,.rss,.jsp,.php,.dxg,.eml,.eps,.ert,.fla,.fla,.flv,.hpp,.docm,.docx,.flac,.iif,.ipe,.ipg,.kdc,.key,.lua,.m4v,.max,.xls,.yuv,.back,.mdb,.mdf,.mef,.mov,.mp3,.mp4,.mpg,.mrw,.x3f,.xlk,.xlr,.msg,.nef,.nk2,.nrw,.oab,.obi,.odb,.odc,.wmv,.wpd,.wps,.odm,.odp,.ods,.odt,.orf,.ost,.p12,.p7b,.vob,.wav,.wb2,.p7c,.pab,.pas,.pct,.pdb,.pdd,.pdf,.per,.sr2,.srf,.str,.ar,.bz2,.rz,.s7z,.apk,.zipx,.pem,.pfx,.pps,.ppt,.prf,.psd,.pst,.ptx,.rw2,.rwl,.sql,.3gp,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.raw,.rtf,.AVI,.indd,.java,.jpeg,.pptm,.pptx,.xlsb,.xlsm,.jpg,.png,.ico,.JPG,.MP4,.MP4,.FLV,.MKV,

در طول فرآیند رمزنگاری، باج افزار همچنان امکان اتصال به اینترنت را چک می‌کند و درصورتی که بتواند به سایت گوگل وصل شود، به کارگزار کنترل و فرمان متصل شده و مقدار مربوط به تعداد فایل‌های رمز شده را به‌روزرسانی می‌کند.

پس از پایان یافتن فرآیند رمزنگاری، باج افزار فایلی با نام Hacked_Read_me_to_decrypt_files.Html ایجاد کرده، در آن پیغام مربوط به باج‌خواهی خود را گذاشته و آن را در دسکتاپ ویندوز و پوشه آغازین کاربر قرار می‌دهد تا هرگاه که کاربر وارد سیستم خود شد، آن را مشاهده کند. این پیغام در شکل 5 نشان داده شده است.

 

شکل 5

در این فایل نحوه اتصال به سایت پرداخت توضیح داده شده است. پس از پایان یافتن تمامی این مراحل، باج افزار اقدام به حذف خود نموده و تنها پیام خود را روی سیستم قربانی به جای می‌گذارد
 

[1] Desktop

تصاویر مرتبط
تاریخ انتشار مطلب: 27 تیر 1395
بازدید ها: 1310