کمیته رکن چهارم – باجافزار BlueSky که از روشهای مدرن برای فرار از ابزار دفاع امنیتی استفاده میکند، سیستم عامل ویندوز را هدف قرار داده و از تکنیک چندنخی(Multithreading) برای رمزگذاری فایلهای سیستم هدف استفاده میکند.
باجافزار BlueSky پس از رمزگذاری، پسوند فایلهای رمزگذاریشده را به پسوند فایل bluesky تغییر میدهد و مهاجمان به قربانیان اعلام میکنند که برای رمزگشایی فایلهای خود باید نرمافزار ویژه BlueSky DECRYPTOR آنان را خریداری کنند و پرداخت فقط با بیتکوین انجام میشود؛ در صورتی که قربانیان به درخواست مهاجمان مبنی بر پرداخت بیت کوین، اعتنایی نکنند، کلید خصوصی قربانیان برای بازیابی اسناد، عکسها، پایگاه دادهها و سایر فایلهای مهم سیستمهای قربانی، در ۱۳ روز و ۲۳ ساعت و ۵۹ دقیقه و ۵۶ ثانیه برای همیشه از بین میرود.
بر اساس تحقیقات انجامگرفته در رابطه با شناسایی رفتار این باجافزار، معماری رمزگذاری چند نخی دارای شباهتهایی با کد نسخه ۳ باجافزار Conti بوده و زیربرنامههایی (ماژولها) که برای جستوجوی شبکه استفاده شدهاند، یک رونوشت دقیق از این باج افزار است. باج افزار BlueSky پس از رمزگذاری اسناد، عکسها، پایگاه دادهها و سایر فایلهای مهم قربانیان، برای رمزگشایی درخواست بیت کوین میکند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند باج افزار BlueSky چندین تکنیک مقابله با تجزیهوتحلیل، را پیادهسازی میکند که به آن اجازه میدهد نامهای عملکرد رابطهای برنامه نویسی ویندوز (Windows API)را مبهم کند. رمزگذاری رشته، مبهمسازی API و مکانیسمهای ضداشکالزدایی نمونه ای از این تکنیکها است.
علاوه بر این، BlueSky نامهای رابطهای برنامه نویسی (API)را با استفاده شیوهای خاص، رمزگذاری میکند و مانع از تجزیهوتحلیل بدافزار میشود. برخلاف سایر باج افزارها که معمولا حاوی لیستی از پسوندهای مجاز برای شناسایی فایلهای واجد شرایط برای رمزگذاری هستند، BlueSky شامل لیستی از پسوندهای غیرمجاز است. باج افزار BlueSky از یک صف چند رشتهای برای رمزگذاری استفاده میکند؛ چندین رشته را شروع میکند؛ یکی مسئول رمزگذاری فایل و دیگری برای شمارش فایلها در سیستم فایل محلی و اشتراکگذاریهای شبکه برای اضافه شدن به صف خواهد بود.
نویسندگان باجافزار از تکنیکهای پیشرفته و مدرن مانند رمزگذاری نمونههای مخرب یا تحویل و بارگیری باجافزار چند مرحلهای برای فرار از دفاع امنیتی استفاده میکنند.
این باج افزار قادر است فایلها را روی میزبانها با سرعت بالا و محاسبات چند رشتهای رمزگذاری کند؛ علاوه بر این، باجافزار از تکنیکهای مبهمسازی مانند هش کردن رابطهای برنامه نویسی (API)استفاده میکند تا تحلیلگر نتواند فرآیند مهندسی معکوس را به سرعت انجام دهد. این احتمال وجود دارد که حملات باجافزار با تکنیکهای رمزگذاری پیشرفته و مکانیسمهای تحویل، افزایش یابد.
منبع : ایتنا