0
عضویت / ورود
شنبه، 6 بهمن 1403 ( جهش تولید با مشارکت مردم )

انتشار باج‌افزار Locky ،توسط سه کارزار هرزنامه‌ای

 
mosadegh
mosadegh
کاربر طلایی3
تاریخ عضویت : بهمن 1388 
تعداد پست ها : 1778
محل سکونت : ایران

انتشار باج‌افزار Locky ،توسط سه کارزار هرزنامه‌ای
پنج شنبه 6 آبان 1395  10:00 PM

مؤسسه Talos از به راه افتادن سه کارزار هرزنامه‌ای خبر داده که همگی آنها اقدام به انتشار گونه جدیدی از باج‌افزار معروف و بسیار مخرب Locky می‌کنند. در این کارزارها، به ایمیل کاربران هرزنامه‌هایی ارسال می‌شود که با اجرای پیوست آنها دستگاه کاربر آلوده به Locky می‌شود.

پیوست هرزنامه‌های نخستین کارزار، حاوی فایلی با پسوند HTA است که وظیفه آن دریافت و اجرای باج افزار مخرب Locky بر روی دستگاه قربانی است. فایل‌های HTA، قابلیت اجرا شدن بر روی مرورگر – فارغ از محدودیت‌های امنیتی لحاظ شده در آن مرورگر – را دارا هستند. در این ایمیل‌ها کاربر تشویق می‌شود که فایل پیوست ایمیل را که در ظاهر یک رسید است باز کند.

عنوان این ایمیل‌ها ###-### Receipt است که در آن # معرف یک عدد است. فایل HTA نیز Receipt #####-######.hta نام دارد که خود در یک فایل فشرده شده با عنوان Receipt ###-###.zip به ایمیل پیوست شده است. با اجرای فایل توسط کاربر باج‌افزار Locky از اینترنت دریافت شده و بر روی دستگاه اجرا می‌شود.

کد HTA نیز مشابه بسیاری از بدافزارهای حرفه‌ای مبهم‌سازی شده است. برای این منظور از متغیرهای متعدد که البته تمامی آنها کلمه PUMPKIN را در خود دارند استفاده شده است. کلمه PUMPKIN به معنای کدو تنبل است که شاید با مراسم هالووین در این ایام بی‌ارتباط نباشد.

http://s6.uplod.ir/i/00830/5mxhqspp9n98.png

مؤسسه Talos گفته که بیش از ۱۳ هزار ایمیل این کارزار را شناسایی کرده است.

در کارزار دوم، از فایل‌های JavaScript – با پسوند JS – برای انتشار باج‌افزار Locky استفاده می‌شود. عنوان ایمیل‌های این کارزار Complaint letter است. مؤسسه Talos اعلام کرده که تنها در سه ساعت نزدیک به ۴ هزار عدد از هرزنامه های این کارزار را مشاهده کرده است. پیوست این ایمیل‌ها فایل فشرده‌ای با عنوان saved_letter_#########.zip است که خود نیز حاوی فایلی با نام saved letter ######.js است.

http://s6.uplod.ir/i/00830/pqr26ezmk2a6.png

در کارزار سوم از دانلودکننده‌های WSF استفاده شده است. تعداد ایمیل‌های شناسایی شده این کارزار مجموعاً ۱۵۴ گزارش شده که ۱۳۳ عدد آنها کاربران فرانسوی زبان را هدف قرار داده‌اند. در این ایمیل‌ها اینطور القا می‌شود که ایمیل از سمت یک رسانه فرانسوی به نام Free ارسال شده و حاوی یک فاکتور است.

عنوان سایر ایمیل‌های این کمپین نیز به شرح زیر است:

We could not deliver your parcel, #000990048
Unable to deliver your item, #0000248834
Problem with parcel shipping, ID:00480186

محققان Talos بر این باورند که کارزار سوم فعلاً مرحله آزمایشی خود را طی می‌کند. بخصوص آنکه پیوست برخی از ایمیل‌های آنها نیز خراب بوده و توانایی اجرا شدن را ندارند. پسوند این فایل‌ها doc.wsf. گزارش شده است.

بدافزار منتشر شده توسط این سه کارزار گونه جدیدی از باج افزار قدرتمند Locky است که تغییرات زیر را نسبت به گونه‌های پیشین در خود دارد:

  • نشانی URL اشاره کننده به سرور فرماندهی به linuxsucks.php/ تغییر یافته است.
  • پسوند فایل‌های رمز شده به shit. تغییر داده شده است.
  • همچنین نام فایل حاوی دستورالعمل پرداخت باج به WHAT_is.htm_ تغییر یافته است.

.تفکر از تخصص مهمتر است📌

تشکرات از این پست
دسترسی سریع به انجمن ها