کمیته رکن چهارم – باجافزار Locky روش کار خود را تغییر داد و اکنون دیگر به روش برونخط کار نمیکند.
به گزارش کمیته رکن چهارم،بدافزار Locky که امسال یکی از معروفترین خانوادههای باجافزار بوده است، بار دیگر روش عملکرد خود را با افزودن یک پسوند جدید به پروندههای رمزنگاری شده تغییر داده است. این بدافزار اولین بار در ماه فوریه خود را نشان داد. Locky میتوانست پروندههایی را که بر روی شبکه بهصورت نگاشتنشده به اشتراک گذاشته شدهبودند رمزنگاری کند. این بدافزار در ابتدا پروندههای رمزنگاری شده را در قالب [unique_id][identifier].locky رمزنگاری میکرد. اوایل تابستان محققان کشف کردند که این باجافزار به پسوندهای zepto. که پیش از این در پویشهای بدافزاری مختلفی استفاده میشد تغییر روش دادهاست.
اکنون بار دیگر این باجافزار روش کار خود را تغییر داده و از پسوندهای ODIN. برای رمزنگاری پروندهها استفاده میکند. بدین ترتیب برای قربانیان این ابهام ایجاد شدهاست که شاید توسط باجافزار جدیدی مورد حمله قرار گرفتهاند.
لاورنس آبرامز،محقق امنیتی BleepingComputer، دریافته است این رمزنگاری کار باجافزار جدیدی با نام Odin نیست بلکه همان باجافزار معروف Locky است که این بار از پسوند ODIN. بهجای zepto. استفاده کردهاست.
درست همانند گذشته، نسخه جدید این باجافزار نیز از طریق هرزنامههایی که پروندههای اسکریپت را بهعنوان پیوست دارند توزیع میشود. بهمحض اینکه گیرنده هرزنامه، پرونده پیوست را باز میکند، کد مخرب در این اسکریپتها، نصبکننده رمزنگاری شده DLL را بارگیری کرده و سامانه قربانی را با Locky آلوده میکند.
پس از اجرا، باجافزار مذکور پروندههای کاربر را رمزنگاری کرده، آنها را تغییر نام داده و پسوند ODIN. را به آنها میافزاید، سپس این بدافزار یادداشت باجخواهی بر روی سامانه قرار میدهد تا کاربر را از حمله رخداده مطلع سازد. در این نوع جدید از باجافزار، نام یادداشتهای باجخواهی نیز به HOWDO_text.html ،_HOWDO_text.bmp_ و HOWDO_text.html_[یک عدد دورقمی]_ تغییر یافتهاند.
اخیراً و پس از تغییر به حالت برونخط در اواسط ماه جولای، باجافزار Locky بار دیگر به استفاده از کارگزار دستور و کنترل روی آوردهاست. تغییر رخداده در ماه جولای متوقفسازی این باجافزار را برای محققان امنیتی سختتر کردهبود، چرا که مسدود کردن ارتباطات دستور و کنترل دیگر تأثیر موردنظر را نداشت.
اکنون محققان Avira میگویند که Locky دوباره از کارگزار دستور و کنترل استفاده میکند. درحالیکه شواهدی از علت این تغییر عملکرد دوباره در دست نیست، محققان Avira میگویند استفاده از حالت برونخط یک شمشیر دو لبه برای مجرمان سایبری بودهاست.
از طرفی کارکرد در حالت برونخط اطلاعات دستور و کنترل و آدرس IP را به دست نمیداده و بدینترتیب شبکه Locky از دید محققان امنیتی و مراجع قانونی پنهان میماندهاست؛ اما از طرف دیگر، این حالت موجب میشده مجرمان سایبری دیگر نتوانند بازخوردهای لازم را درباره میزان موثر بودن پویشهای توزیع Locky از انواع وابسته دریافت کنند.
مرجع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
