پسوند گونه جدید باج‌افزار Locky

amindata-recovery-باج‌افزار Locky

گردانندگان باج‌افزار Locky باز هم بر آن شدند تا پسوند الصاقی به فایل‌های رمز شده را تغییر دهند. این بار Osiris، نام یکی از خدایان مصر باستان را برای این منظور برگزیده‌اند.

به گزارش شرکت مهندسی شبکه گستر، گونه جدید این باج‌افزار Locky از طریق هرزنامه‌هایی که پیوست آنها فایل Excel حاوی ماکروی مخرب است دستگاه‌ها را هدف قرار می‌دهد. عناوین این هرزنامه‌ها [Invoice Inv[random_number و نام فایل پیوست شده آنها، Invoice_Inv[random_numbers].xls گزارش شده است.

باج‌افزار Locky

باج‌افزار Locky

با باز شدن فایل Excel، کاربر با صفحه گسترده‌ای خالی با عنوان Лист1 روبرو می‌شود. این کلمه اوکراینی می‌تواند بیانگر ملیت ویروس‌نویسان این باج‌افزار باشد. بر اساس تنظیمات پیش‌فرض در نرم‌افزار Office، در زمان باز کردن فایل‌های حاوی ماکرو پیامی ظاهر شده و از کاربر خواسته می‌شود تا برای استفاده از کدهای به‌کار رفته در فایل، بخش ماکرو فعال شود.

در صورت فعال شدن ماکرو توسط کاربر، فایل DLL حاوی کد باج‌افزار Locky دانلود شده و در مسیر %Temp% بر روی دستگاه قربانی ذخیره می‌شود. هر چند که نوع فایل دانلود شده DLL است اما پسوند آنچه که بر روی دستگاه ذخیره می‌شود عباراتی دیگر همچون spe گزارش شده است.

در ادامه فایل مذکور از طریق یکی از پروسه‌های مجاز سیستم عامل Windows یعنی Rundll32.exe بر روی سیستم قربانی اجرا می‌شود.

همانند گونه‌های پیشین به‌محض اجرا، باج‌افزار اقدام به پویش دستگاه برای یافتن فایل‌های با پسوندهای خاص و رمزنگاری آنها می‌کند.

هدف از رمز کردن، تغییر ساختار فایل است؛ به‌نحوی که تنها با داشتن کلید رمزگشایی بتوان به محتوای فایل دسترسی پیدا کرد. پیچیدگی و قدرت این کلیدها بر اساس تعداد بیت بکاررفته در ساخت کلید است. هر چه تعداد این بیت ها بیشتر باشد شانس یافتن آن هم دشوارتر و در تعداد بیت بالا عملاً غیرممکن می‌شود.

نام و پسوند فایل‌های رمزنگاری شده بر اساس قالب زیر تغییر داده می‌شوند:

[first_8_chars_of_id]–[next_4_chars_of_id]–[next_4_chars_of_id]–[8_hexadecimal_chars]–[12_hexadecimal_chars].osiris
برای مثال نام فایلی با نام test.jpg پس از رمزنگاری به 11111111–1111–1111–FC8BB0BA–5FE9D9C2B69A.osiris تغییر می‌کند.

با پایان رمزنگاری، راهنما نحوه پرداخت باج در قالب نام‌های زیر نمایش داده می‌شوند:

DesktopOSIRIS.bmp
DesktopOSIRIS.htm
OSIRIS-[4_numbers].htm
OSIRIS-[4_numbers].htm

یکی از نکات جالب در خصوص گونه جدید وجود اشکالی در کدنویسی آن است.

در کد باج‌افزار برای ذخیره‌سازی فایل‌های راهنمای نحوه پرداخت باج از آدرس‌دهی‌هایی نظیر:

UserpProfile%\DesktopOSIRIS.bmp% استفاده شده است. مشخص است که برنامه‌نویسان این باج‌افزار در زمان کدنویسی درج نویسه \ پس از Desktop را از قلم انداخته‌اند.

 

© کپی رایت - ریکاوری هارد و بازیابی اطلاعات امین پایتخت