باز هم ظهور نسخه‌ای جدید از Locky

کمیته رکن چهارم – Locky از جمله معروف‌ترین باج‌افزارهایی است که در سال‌های اخیر بخش قابل توجهی از آلودگی‌ها به این نوع بدافزارهای مخرب را به خود اختصاص داده است.

از زمان پیدایش باج‌افزار Locky در بهمن ماه ۱۳۹۴، نویسندگان آن بارها و بارها نسخه‌های جدیدی از آن را با قابلیت‌هایی جدید و توانایی‌های پیشرفته‌تر منتشر کردند. قابلیت‌هایی که در اکثر مواقع این بدافزار را قادر به عبور از سد ضدویروس‌های سنتی کرده‌اند.

یکی از اصلی‌ترین عوامل که سبب شهرت و معروفیت این باج‌افزار گردید موفقیت آن در رخنه به چندین بیمارستان و مرکز درمانی بوده است.

برای مثال در اواخر سال ۱۳۹۴، در حالی که سیستم‌های کامپیوتری بیمارستان Hollywood Presbyterian برای مدت ۱۰ روز توسط Locky فلج شده بودند و تلاش های متخصصان امنیت فناوری اطلاعات در رمزگشایی فایل‌ها ناکام مانده بود، مسئولان این بیمارستان اقدام به پرداخت باجی ۱۷ هزار دلاری به گردانندگان این باج‌افزار برای بازگرداندن روند امور به حالت اولیه نمودند.

در روزهای اخیر نیز، گردانندگان باج‌افزار مخرب Locky اقدام به عرضه نسخه جدیدی از آن کرده‌اند.

به گزارش شرکت مهندسی شبکه گستر، روش انتشار نسخه جدید، ایمیل‌هایی با پیوست ZIP است.

فایل پیوست شده خود حاوی یک اسکریپت VBS است که در صورت اجرا شدن توسط کاربر، با سرور فرماندهی (C2) تماس برقرار کرده و فایل اجرایی باج‌افزار را به همراه فرامین مخرب از آن دریافت می‌کند.

در صورتی که به هر دلیل، برقراری ارتباط با سرور مذکور فراهم نشود اسکریپت برای اتصال به نشانی دوم درج شده در کد تلاش می‌کند.

یکی از نکات قابل توجه در نسخه جدید، استفاده از پارامترها و کلماتی همچون Enterprise و Microsoft در زمان برقراری ارتباط با سرور فرماندهی است؛ موضوعی که هدف آن کاهش احتمال مشکوک شدن مدیران شبکه به غیرمجاز بودن ارتباط برقرار شده است.

در نسخه جدید، فایل باج‌افزار پس از دریافت شدن از سرور فرماندهی در مسیر AppData%\Local\Temp% ذخیره شده و سپس اجرا می‌شود.

این نسخه از Locky فایل‌های با هر یک از پسوندهای زیر را رمزگذاری کرده و به آنها پسوند Diablo6 را الصاق می‌کند:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .backup, .backupdb, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt.

در نهایت اطلاعیه باج‌گیری نمایش داده می‌شود.

نمونه های بررسی شده در این خبر با نام های زیر شناسایی می شوند:

McAfee:
  – VBS/Downloader.ga
  – Suspicious ZIP!vbs
  – RDN/Generic.grp

Bitdefender:
  – Trojan.VBS.VBD
  – Trojan.GenericKD.5795255

منبع : شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Green Captcha Characters Below.