کمیته رکن چهارم – در یک هفته اخیر منابع مختلف، از انتشار گونه جدیدی از باج افزارها، با نام CryptoFortress، خبر داده اند. به گفته این منابع این بدافزار از طریق بسته های بهره جو (Exploit Kit) منتشر می شود.
به گزارش کمیته رکن چهارم،از پیام های این بدافزار مبنی بر رمز شدن فایلها و برخی توابع آن می توان اینطور نتیجه گیری کرد که CryptoFortress عملکردی مشابه یک باج افزار دیگر به نام TorrentLocker دارد. برخی از ویژگی های CryptoFortress بشرح زیر است.
– رمزگذاری برون خط (Off-line) با استفاده از استاندارد AES با کلید ۲۵۶ بیتی
– رمزگذاری فایلهای ذخیره شده در درایوهای محلی، درایوهای شبکه ای و پوشه های اشتراکی در شبکه
– قرار داشتن سرور فرماندهی در شبکه Tor
– حذف اطلاعات مربوط به Volume Shadow Copy
بر طبق بررسی های انجام شده بر روی یکی از نمونه فایلهای این بدافزار، فایل مخرب CryptoFortress در تاریخ ۲۶-۰۲-۲۰۱۵ همگردانی (Compile) شده است. به محض اجرا شدن، اطلاعات زیر را از کامپیوتر قربانی جمع آوری می شود.
– زمان فعلی
– فضای اشغال شده و آزاد دیسک سخت
– تعداد درایوهای متصل به سیستم
– وضوح تصویر
این اطلاعات سپس به همدیگر الحاق شده و با یک کلید عمومی که مشخصات آن در فایل پیکربندی بدافزار آمده با الگوریتم RSA رمز می شود. بدافزار از کد حاصل شده برای رمزنگاری فایلها، با استاندارد AES، در حالت ECB و با کمک توابع Windows، استفاده می کند.
بر خلاف باج افزار TorrentLocker، این باج افزار جدید در طول پروسه رمزگذاری، ارتباطی با سرور فرماندهی برقرار نمی کند. به نام فایلهای رمز شده پسوند frtrss متصل می شود و در هر پوشه ای که فایلهای آن رمز شده اند یک فایل HTML با نام READ IF YOU WANT YOUR FILES BACK قرار می گیرد که در آن دستورالعمل بازگرداندن فایلها و یک کد رمز قرار گرفته است.
بر خلاف TorrentLocker، بدافزار جدید قابلیت سرقت اطلاعات اصالت سنجی را ندارد.
در پایان پروسه رمزگذاری، یکی از صفحات HTML که تصویر آن در بالا نمایش داده شده است، در مرورگر نمایش می یابد. این صفحه حاوی پیوندی به تارنمایی است که بر روی شبکه Tor قرار دارد.
بدافزار تنظیمات خود را در یک فایل CFG از نوع RCDATA ذخیره می کند. مرور کد نشان می دهد که فایل با یک الگوریتم XOR با کلیدی ۱۶ بایتی رمز شده است.
تصویر زیر فهرست فایلهایی که توسط CryptoFortress رمز می شوند را نشان می دهد.
با رمز شدن فایلها تنها راه باز گرداندن آنها بدون پرداخت باج به بادافزار نویس شکستن الگوریتم RSA است که متاسفانه با تجهیزات عادی عملاً ناممکن است.
منبع : رسانه خبری امنیت اطلاعات
