کمیته رکن چهارم – باجافزار Locky در سال ۲۰۱۶ میلادی بسیار فعال بود و سر و صدای زیادی به پا کرده بود ولی در سه ماههی اول سال ۲۰۱۷ میلادی دیدیم که فعالیت این بدافزار کمتر شد. محققان اعلام کردند در چند روز اخیر شاهد بازگشت این باجافزار در پویشی مبتنی بر Necurs بودهاند. Necurs باتنتی است که برای اولین بار سال گذشته ظاهر شد و در حال حاضر نزدیک به ۱.۷ میلیون رایانهی آلوده را تحت کنترل خود در آورده است.
به گزارش کمیته رکن چهارم،محققان امنیتی میگویند قبل از کریسمس سال ۲۰۱۶ تعداد هرزنامهها کاهش چشمگیری داشته است. هرچند هنوز دلیل این مسئله مشخص نیست ولی محققان حدس میزنند غیرفعال شدن باتنت Necurs یکی از دلایل این موضوع باشد. در ۱ فروردین ماه تعداد هرزنامهها بهطور ناگهانی رشد ۵ برابری داشت چرا که باتنت Necurs دوباره برگشته بود.
امروز یک ماه بعد از این قضیه، Necurs فعالیت خود را با توزیع باجافزار Locky تشدید کرده است. به گزارش محققان تالوس، باجافزار Locky در حال حاضر با سرعت بسیار بالایی در حال توزیع است. این شرکت مشاهده کرده که ۳۵ هزار رایانامه برای توزیع این باجافزار افزایش پیدا کرده است. پویش باجافزار Locky بسیار شبیه به اکثر پویشهای هرزنامهای است. در پویش توزیع این بدافزار از رایانامههای مختلفی با موضوعات پرداخت و رسید استفاده میشود. بهعنوان مثال در بخش موضوع رایانامه، یک شماره رسید ثبت شده و در متن رایانامه چیزی نیامده است و صرفاً یک پروندهی مخرب پیدیاف ضمیمه شده است.
در حال حاضر شاهد دو پویش هستیم یا بهتر بگوییم دو متدولوژی مختلف در یک پویش مورد استفاده قرار گرفته است. در یکی از این پویشها موضوع رایانامه در چندین بار ارسال ثابت باقی مانده و بعداً تغییر میکند و در یکی دیگر از پویشها از یک عنوان برای دهها هزار رایانامه استفاده میشود. روشی که در این پویش برای توزیع باجافزار Locky مورد استفاده قرار میگیرد، مشابه روش پویش Dridex است. برخلاف استفاده از یک پروندهی مایکروسافت DOCM. از یک پروندهی پیدیاف استفاده شده است و نام آنها یکی است. در پروندهی ورد، یک ماکروی مخرب وجود داشت که با فعال شدن آن، باجافزار Locky بر روی سامانه نصب شده و به رمزنگاری پروندهها میپرداخت.
محققان امنیتی میگویند در این روش توزیع، یک ویژگی جالب توجه وجود دارد که برای نصب باجافزار نیاز به تعامل با کاربر برای اجرای پروندهی مخرب وجود دارد و این مسئله میتواند راهحلهای دفاعی مانند جعبه شنی را دور بزند. بهخاطر اینکه این باجافزار به حالت خفته بوده و با فعالیت کاربر فعال میشود، بنابراین در دام جعبه شنی نخواهد افتاد. این پویش رابطهی نزدیک و عمیق بین باجافزار Locky و باتنت Necurs را نشان میدهد. اگر این باتنت به توزیع باجافزار Locky نپردازد، رشد آن کاهش چشمگیری خواهد داشت. هرچند که فعال نبودن باجافزار نیز به این معنی نیست که بهطور کلی از بین رفته است بلکه تلاش خواهد کرد با قدرتی دو برابر برگردد. محققان میگویند قبلاً آلودگی به بدافزار از طریق ماکروهای مخرب ورد بسیار زیاد بود ولی اینک پروندههای مخرب در قالب پیدیاف به قربانیان تحویل داده میشود.
منبع:security week
