کمیته رکن چهارم – به تازگی باج افزار جدیدی به نام MedusaLocker کشف شده و در حال گسترش است. در حال حاضر نحوه توزیع این باجافزار نامشخص است.
به نقل از پایگاه اینترنتی BleepingComputer، این باج افزار جدید در تاریخ ۱۷ اکتبر (۲۴ مهر) توسط MalwareHunterTeam کشف شده است. هنوز مشخص نیست که چگونه این باج افزار توزیع میشود،اما گزارشهای متعددی از آلودگی به این باجافزار به سایت ID Ransomware ارسال شده است.
هنگامی که این باج افزار نصب میشود، به منظور آمادهسازی رایانه برای رمزگذاری، فرایندهای مختلف راهاندازی را انجام میدهد. باجافزار در رجیستری کلید EnableLinkedConnections را در HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ایجاد میکند و سپس مقدار آن را یک قرار میدهد. این کار به منظور دسترسپذیری درایوهای map شده در فرایندهای پردازشی اجرا شده توسط UAC انجام میشود.
در ادامه باجافزار چندین فرایند پردازشی را بررسی و متوقف میکند تا از بسته بودن برنامههای امنیتی و همچنین بسته بودن فایلها به منظور آغاز مراحل رمزگذاری، اطمینان حاصل میکند. برخی از فرایندهای مورد بررسی موارد sqlservr، winword، httpd، java، tomcat۶ و غیره هستند. همچنین باجافزار Shadow Copyهای فایلهای مورد نظر خود را حذف میکند تا امکان بازیابی اطلاعات از طریق سیستمعامل را از بین ببرد.
باجافزار MedusaLocker درایوهای رایانه را اسکن میکند و به جز فایلهای دارای پسوندهای exe، dll، sys، ini، lnk، rdp و encrypted (یا هر پسوندی که برای رمزگذاری فایلها استفاده میشود)، سایر فایلها را رمزگذاری میکند. علاوه بر این، فایلهای موجود در برخی پوشهها مانند USERPROFILE، PROGRAMFILES، ProgramData، AppData و غیره نیز رمزگذاری نمیشوند.
هنگام رمزگذاری فایلها، باجافزار از AES برای رمزگذاری استفاده میکند و سپس کلید AES توسط یک کلید عمومی RSA-۲۰۴۸ که در فایل اجرایی باجافزار قرار داد، رمزگذاری میشود. برای هر فایل رمزگذاری شده، بسته به نوع نسخه باجافزار، یکی از پسوندهای زیر را اضافه خواهد شد:
encrypted, bomber, boroff, breakingbad, locker۱۶, newlock, nlocker, skynet
باجافزار هر ۶۰ ثانیه یکبار وجود فایلهای جدید را بررسی میکند تا آنها را رمزگذاری کند. همچنین، به منظور کسب پایداری در سیستم آلوده، یک کپی از باجافزار در آدرس UserProfile%\AppData\Roaming\svchostt.exe% ایجاد میشود.
نشانههای آلودگی (IoC):
هش:
• dde۳c۹۸b۶a۳۷۰fb۸d۱۷۸۵f۳۱۳۴a۷۶cb۴۶۵cd۶۶۳db۲۰dffe۰۱۱da۵۷a۴de۳۷aa۹۵
