باج‌افزار لاکی در پویش‌های جدید، فقط می‌تواند پرونده‌های ویندوز ایکس‌پی را رمزنگاری کند

کمیته رکن چهارم – بات‌ت هرزنامه‌ای Necurs تغییر رویه داده و برای توزیع باج‌افزار لاکی در پویش‌های خود از صورت‌حساب‌های جعلی استفاده می‌کند. سال گذشته شاهد بودیم که باج‌افزار لاکی در صدر تهدیدات سایبری قرار گرفته بود و مهم‌ترین ابزار برای توزیع، همین بات‌نت Necurs بود. این بات‌نت پس از تعطیلات چند ماهه در اوایل سال ۲۰۱۷ میلادی، در ماه آوریل دوباره به عرصه‌ی تهدیدات بازگشته بود ولی فقط برای چند هفته باج‌افزار لاکی را توزیع کرد.

به گزارش کمیته رکن چهارم،از تاریخ ۱۲ می، درست از همان روزی که باج‌افزار «گریه» پدیدار شد، این بات‌نت به توزیع باج‌افزار دیگری به نام Jaff اقدام کرد. این باج‌افزار به‌نظر می‌رسید بسیار به باج‌افزار لاکی شباهت دارد و محققان ادعا کرده بودند نویسندگان این دو بدافزار، یک نفر است. اوایل این ماه نیز محققان از آزمایگشاه کسپرسکی در کد باج‌افزار Jaff آسیب‌پذیری را کشف و ابزاری برای رمزگشایی هر ۳ نسخه از این بدافزار منتشر کردند.

به نظر می‌رسد انتشار این ابزار رمزگشایی توسط کسپرسکی، باج‌افزار Jaff را از میدان به در کرده و این بات‌نت تصمیم گرفته مجدداً به توزیع باج‌افزار لاکی روی بیاورد. در رایانامه‌های هرزنامه‌ای یک پرونده‌ی آرشیوی ارسال می‌شود که در داخل آن یک پرونده‌ی اجرایی وجود دارد. برخلاف پویش‌های قبلیِ این بات‌نت که در قالب تأیید سفارش، رسید پرداخت و اسناد تجاری عمل می‌کرد، هرزنامه‌های فعلی با عنوان صورت‌حساب‌های جعلی ارسال می‌شوند.

محققان سیسکو تالوس اشاره کردند شدت حمله و ارسال هرزنامه در پویش جدید بسیار بالا است به‌طوری که در عرض یک ساعت توانسته است ۷ درصد از رایانامه‌هایی را که در یک شرکت ثبت شده‌اند، تحت تأثیر قرار دهد. این حجم بالا از حملات در ساعات اولیه در حال حاضر کاهش یافته است ولی پویش همچنان فعال بوده و به عملیات خود ادامه می‌دهد.

در این پویش از همان شناسه‌های قبلی استفاده شده ولی به‌نظر می‌رسد تغییراتی در خود باج‌افزار ایجاد شده است. یکی از این تغییرات، از رمزنگاری داده‌ها در سامانه عامل‌های جدیدتر از ویندوز ایکس‌پی جلوگیری می‌کند. ساختار آدرس‌های URL مربوط به دامنه‌های دستور و کنترل نیز نکته‌ی قابل توجه دیگری است. گفته می‌شود ساختار این آدرس‌ها مشابهت‌هایی با نسخه‌های قبلی لاکی دارد و ظاهراً مهاجمان سایبری در پویش جدید خود شتاب‌زده عمل کرده‌اند.

محققان سیسکو تالوس می‌گویند نویسندگان باج‌افزار لاکی به احتمال زیاد از وجود اشکالات در این بدافزار مطلع هستند و به‌زودی در قالب به‌روزرسانی‌هایی این اشکالات را برطرف خواهند کرد. در حال حاضر نمونه‌هایی از باج‌افزار لاکی که توسط بات‌نت Necurs توزیع شده، فقط می‌تواند پرونده‌ها را در سامانه عامل ویندوز ایکس‌پی رمزنگاری کند.

محققان تالوس گفتند: «این مسئله همواره بسیار خطرناک است که در رایانامه‌های مشکوک بر روی پیوندها کلیک و یا ضمیمه‌های آن را باز کنید. اگر کاربری این توصیه‌ها را جدی نگیرد، بدون شک یکی از قربانیان باج‌افزار خواهد بود که برای بازیابی پرونده‌ها باید باجِ درخواستی را پرداخت کند. مجدداً به سازمان‌ها توصیه می‌شود تا به‌طور مکرر از پرونده‌های خود نسخه‌ی پشتیبان تهیه کرده و به‌طور برون-خط از آن‌ها نگهداری کنند.»

منبع:security week

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.