اقدامات گمراه کننده گونه های جدید باج افزار Locky
باج افزار Locky
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee، در هفته های اخیر گونه هایی جدید از باج افزار Locky بشدت از طریق هرزنامه ها در حال انتشار هستند.Locky بدافزاری از نوع باج افزار (Ransomware) است که از اواخر سال گذشته اطلاعات کاربران را در کشورهای مختلف از جمله ایران هدف قرار داده است.
بر خلاف گونه های پیشین Locky که در آنها از روش های مبهم سازی (Obfuscation) استفاده نمی شد در گونه های جدید این باج افزار با بهره گیری از رمزنگاری کد به روش XOR کار عبور باج افزار از سد محصولات امنیتی آسان تر و تحلیل شدن توسط این نوع محصولات دشوارتر شده است. رمزنگاری XOR نوعی عملیات منطقی است که بر اساس آن تنها در صورت متفاوت بودن ورودی ها (۰ و ۱)، خروجی صحیح (۱) می شود. روشی ساده، سریع و بطور کلی مؤثر برای گذر از سد محصولات ضدبدافزار.
برای نمونه در شکل زیر کد با ۰xFF،وXOR شده است.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
با رمزگشایی آن کد بصورت شکل زیر خواهد شد.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
در گونه جدید دیگری از باج افزار Locky، علاوه بر XOR، بایت های کد معکوس شده و ۴ بایت نیز بعنوان Checksum نیز به عبارت اضافه می شود که این کار بررسی و تحلیل کد بدافزار را دشوارتر می کند.
بررسی یک نمونه
در این نمونه بررسی شده، پیوست هرزنامه یک فایل ZIP حاوی فایل JavaScript است. وظیفه فایل JavaScript دریافت فایل بدافزار – در اینجا باج افزار Locky – و اجرای آن بر روی دستگاه قربانی است. آلوده سازی دستگاه از فرآیند زیر پیروی می کند:
اقدامات گمراه کننده گونه های جدید باج افزار Locky
بخشی از کدهای JavaScript بصورت زیر است:
اقدامات گمراه کننده گونه های جدید باج افزار Locky
با اولین رمزگشایی کدهای رمز شده دیگری حاصل می شود که البته قابل خواندن تر است.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
با دومین رمزگشایی بخش های از کد معنادار می شوند. اما همانطور که در شکل زیر نشان داده شده است نشانی های اینترنتی که بدافزار از طریق آنها دریافت می شود همچنان رمز شده است.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
با انجام رمزگشایی بعدی سایت های مخرب یا تسخیر شده توسط گردانندگان بدافزار نیز مشخص می شوند.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
کد JavaScript، ابتدا با اولین نشانی ارتباط برقرار می کند. در صورت عدم دریافت پاسخ به سراغ نشانی بعدی می رود و این کار آنقدر تکرار می شود که یا بدافزار دانلود شود و یا نشانی ها به پایان برسند.
با دریافت فایل بدافزار که بصورت رمز شده است، کد JavaScript اقدام به محاسبه Checksum و بررسی صحت آن می کند.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
بایت های فایل دریافت شده را معکوس کرده و سپس الگوریتم رمزگشایی را بر روی آن اجرا می کند. خروجی کار یک باج افزار Locky است.
با اتمام رمزگشایی اندازه و امضای فایل را بررسی کرده و در صورتی که هر کدام از این موارد صحیح نباشد فرآیند دریافت بدافزار تکرار می شود.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
و در صورت صحیح بودن، فایل بر روی دستگاه قربانی اجرا می شود.
اقدامات گمراه کننده گونه های جدید باج افزار Locky
بازی دزد و پلیس میان برنامه نویسان باج افزار و شرکت های امنیتی همچنان ادامه خواهد داشت و احتمالاً به زودی شاهد روش های مبهم سازی جدیدتری خواهیم بود.
توضیح اینکه گونه های بررسی شده در این مقاله توسط محصولات شرکت McAfee با نام های JS/Nemucod و Ransomware-Locky.a!enc شناسایی می شوند.
