باج‌افزار Apocalypse؛ پروتکل کنترل از راه دور رایانه

به گزارش واحد متخصصین سایبربان؛ یکی از روش‌های جدید کار در باج‌افزارها استفاده از پروتکل کنترل از راه دور رایانه  برای آلوده کردن دستگاه‌هاست. محققان شرکت Emsisoft با هشدار در این زمینه اعلام کرده‌اند یک گروه از باج‌افزارها جدیداً در حال استفاده از این روش هستند.

در ابتدای ماه می، یک باج‌افزار با نام Apocalypse شناسایی شد. این باج‌افزار با استفاده از کلمات عبور ضعیف در کارگزارهای نامطمئن ویندوز اقدام به کنترل از راه دور رایانه‌ها کرده و از این رایانه‌ها به‌عنوان اولین و مهم‌ترین عامل حمله خود استفاده می‌کرد. این باج‌افزار با استفاده از پروتکل کنترل از راه دور رایانه، می‌تواند تمام عوامل حمله خود را وارد رایانه کند. در این شرایط نیز عوامل طراح این باج‌افزار می‌توانند از رایانه آلوده‌شده هر استفاده ممکن را بکنند.

 بنا به تحقیقات و مشاهدات محققان شرکت Emsisoft، اولین نوع طراحی‌شده از این باج‌افزار اقدام به نصب %appdata%\windowsupdate.exe می‌کند و سپس این بخش اقدام به ساخت یک کلید اجرا  با نام windows update ‌ در دو بخش HKEY_CURRENT_USER  و HKEY_LOCAL_MACHINE می‌کند. این باج‌افزار سپس پسوند encrypted. را به نام پرونده‌های رمزنگاری‌شده ضمیمه می‌کند و یک یادداشت باج‌خواهی را در کنار هر پرونده قرار می‌دهد. این باج‌افزار در پایان نشانی‌های رایانامه‌ای زیر را در یادداشت باج‌خواهی قرار می‌دهد:

dr.compress(at)us۱.l.a/ dr.compress(at)bk.ru/

dr.jimbo(at)bk.ru/

dr.decrypter(at)bk.ru/

نوع دوم طراحی‌شده این باج‌افزار در اوایل ماه ژوئن مشاهده شد. این نوع با نصب عامل خطر %ProgramFiles%\windowsupdate.exe اقدام به ساخت یک کلید اجرا با نام windows update svc‌ می‌کند و در یادداشت باج‌خواهی خود، نشانی رایانامه‌ای [email protected] را قید می‌کند. در تاریخ ۲۲ ژوئن، نوع سوم این باج‌افزار نیز کشف شد که با نصب %ProgramFiles%\firefox.exe و ایجاد یک کلید اجرا با نام firefox update checker مقدمات حمله خود را فراهم می‌کند. این نوع در پایان با ضمیمه کردن پسوند SecureCrypted. به پایان نام پرونده‌ها، اقدام به ساخت یادداشت باج‌خواهی می‌کند و نشانی رایانامه‌ای [email protected] را در یادداشت خود عنوان می‌کند.

این باج‌افزار قبل از آلوده کردن سامانه، در مورد زبان پیش‌فرض سامانه بررسی‌هایی را انجام می‌دهد. درصورتی‌که زبان سامانه روسی، اوکراینی و یا بلاروسی باشد، کار خود را ناتمام رها خواهد کرد. درصورتی‌که زبان پیش‌فرض در میان این زبان‌ها نباشد، باج‌افزار خود را به پرونده %ProgramFiles%\firefox.exe کپی می‌کند و سپس ویژگی این پرونده اجرایی را به مخفی  و سامانه‌ای  تغییر می‌دهد و در ادامه، برچسب زمانی پرونده را با استفاده از explorer.exe اصلاح می‌کند. پس‌ازاین مراحل، باج‌افزار یک مقدار اجرایی  را به کار می‌اندازد تا از این طریق اطمینان حاصل شود این مقدار در هر بار راه‌اندازی رایانه اجرا می‌شود.

این باج‌افزار پس از نصب شدن، پرونده جدید firefox.exe را اجرا می‌کند. این پرونده مأمور اجرای دو کار در رایانه آلوده‌شده است: بررسی مرتب و متناوب اجرای برخی فرآیندهای ویندوز و پایان دادن به آن‌ها در صورت اجرا و همچنین شروع رمزنگاری به روش عادی. این باج‌افزار همچنین یک لیست از درایوهای شبکه‌ای قابل‌حذف، تعمیر شده و دارای قابلیت کنترل از دور را فراهم می‌کند. در اینجا نکته قابل‌ذکر این است که این باج‌افزار در مورد درایوهای شبکه‌ای دور از دسترس رمزنگاری را انجام نمی‌دهد. محققان دلیل این امر را وجود یک اشکال در بخش رمزنگاری مرتبط با این درایوها می‌دانند.

این باج‌افزار بعد از فراهم کردن این لیست، اقدام به اسکن تمامی پوشه‌ها می‌کند و سپس تمام پرونده‌های موجود در این پوشه‌ها را رمزنگاری می‌کند. در این میان تنها پرونده‌های موجود در پوشه‌های ویندوز و همچنین پرونده‌هایی که در پایان نام خود پسوندهای زیر رادارند، رمزنگاری نمی‌شوند:

.exe,.dll,.sys,.msi,.com,.lnk,.tmp,.ini,.SecureCrypted,.bin,.bat,.dat,.Contact_Here_To_Recover_Your_Files.txt.

این باج‌افزار قبل از رمزنگاری یک پرونده، اقدام به بازبینی آن می‌کند تا اطمینان حاصل شود پرونده قبلاً رمزنگاری نشده باشد. درصورتی‌که این اتفاق رخ نداده باشد، باج‌افزار اقدام به رمزنگاری محتوای پرونده می‌کند. این کار با استفاده از الگوریتم XOR محور انجام می‌شود. نوع این الگوریتم در میان سه نوع موجود از این باج‌افزار اندکی متفاوت است. این باج‌افزار بعدازاین مراحل عدد جادویی و همچنین محتوای رمزنگاری‌شده را وارد پرونده می‌کند و در پایان پسوند SecureCrypted. را به نام پرونده ضمیمه می‌کند.

باج‌افزار Apocalypse همچنین در کنار این اقدامات، برچسب زمانی پرونده اصلی را حفظ می‌کند و سپس یادداشت باج‌خواهی را در پرونده قرار می‌دهد. این باج‌افزار همچنین پنجره‌ای را طراحی می‌کند که هم‌زمان با باز شدن یادداشت باج‌خواهی اجرا می‌شود و کاربر هر دو را می‌بیند. محققان همچنین اعلام کردند که نویسندگان و طراحان این باج‌افزار با ارسال یک رمز به شرکت Emsisoft، یک پیام توهین‌آمیز را درون آن قرار داده‌اند.

محققان شرکت Emsisoft بر این باورند که نرم‌افزارهای ضد بدافزار در مورد این باج‌افزارها کارایی لازم را ندارند. دلیل این امر این است که نفوذگران با کنترل از راه دور یک رایانه آلوده‌شده، به تمام بخش‌های آن دسترسی دارند و بنابراین می‌توانند بخش‌های امنیتی و حفاظی رایانه را غیرفعال کنند. درعین‌حال، یک رمزگشا در اختیار تمامی کاربران موردحمله این باج‌افزار قرار داده‌شده است که با استفاده از آن می‌توان تمامی پرونده‌های آلوده‌شده را به‌صورت رایگان بازگرداند.

شرکت Emsisoft همچنین خاطرنشان کرد: «مهم‌ترین خط دفاعی در این‌گونه موارد استفاده از کلمه‌ عبور مناسب است. این راهکار برای تمامی کاربران و حساب‌های آن‌ها لازم‌الاجرا است. این راهکار حتی برای حساب‌هایی که به‌ندرت از آن‌ها استفاده می‌شود نیز ضروری است. این حساب‌ها ممکن است به‌منظور آشنایی و آزمایش و یا برای استفاده از یک برنامه اصلی، ساخته‌شده باشند، اما درعین‌حال استفاده از راهکار کلمه ‌عبور امن در مورد این حساب‌ها هم توصیه می‌شود. همچنین نکته مهم و ضروری که در این زمینه توصیه می‌شود، غیرفعال کردن سامانه‌های کنترل از راه دور رایانه، در صورت عدم استفاده از آن‌هاست. راهکار دیگر اعمال محدودیت‌های مرتبط با آدرس IP به‌منظور دسترسی این سامانه‌ها از شبکه‌های امن است.»