کمیته رکن چهارم – باجافزار جدیدی کشف شده که نویسندهی آن به پروتکل رومیزی راه دور۱ (RDP) نفوذ کرده و بدافزار مورد نظر خود را در کنار سایر ابزارها بارگذاری میکند. این باجافزار RSAUtil نام داشته و زبان دلفی نوشته شده است. بدافزار به انتهای پروندههای رمزنگاریشده، پسوند helppme@india.com.ID۸۳۹۹۴۹۰۲. را اضافه میکند. باجافزار همچنین در هریک از پوشهها یاداشت باجخواهی خود را در قالب پروندهای با نام How_return_files.txt قرار میدهد.
به گزارش کمیته رکن چهارم،محققان امنیتی اشاره کردند، نویسندهی بدافزار پس از نفوذ به پروتکل RDP علاوه بر باجافزار، ابزارهای دیگری را در یک بسته به همراه آن بر روی سامانهی قربانی بارگذاری میکند که حاوی یک سری ابزارهای مشخص و پروندههای پیکربندی است که مشخص میکند بر روی سامانهی هدف، باجافزار چگونه اجرا شود.
این بسته وسیلهای برای آمادهسازی دستگاه قربانی برای نصب باجافزار RSAUtil است. در این بسته یک پروندهی CMD وجود دارد که با حذف رکوردهای ثبتشده، ردِ آلوده شدن ماشین به این باجافزار را پاک میکند. دو پروندهی دیگر از انتقالِ وضعیت ماشین به حالت خواب جلوگیری میکنند. یک تصویر نیز در این بسته وجود دارد که از آن بهعنوان تصویر پسزمینه استفاده میشود. پروندهی bat موجود در بسته نیز برای مقداردهی و پیکربندی گزینههای مختلف RDP مورد استفاده قرار میگیرد.
همچنین در بستهی مورد نظر، یک پروندهی پیکربندی نیز وجود دارد که در حین فرآیند رمزنگاری پروندهها مورد استفاده قرار میگیرد. این پروندهی پیکربندی مشخص میکند پروندهها در چه مسیرهایی باید رمزنگاری شوند، شناسهی قربانی چه باشد، از چه آدرس رایانامهای استفاده شوند، پروندهی باجخواهی با چه نامی به قربانی نمایش داده شود. این پرونده همچنین پسوندهایی که به انتهای پروندهها اضافه میشود و کلیدهای رمزنگاری را مشخص میکند. نام باجافزار RSAUtil در بستهی مورد نظر svchosts.exe است. این بدافزار تمامی پوشههای رایانهی قربانی و پروندههای به اشتراک گذاشتهشده در سطح شبکه را پویش کرده و به رمزنگاری پروندههای موجود میپردازد.
پس از اینکه فرآیند رمزنگاری تکمیل شد، یک صفحهی قفل به کاربر نمایش داده شده و آدرسهای رایانامهی helppme@india.com و helppme@india.com برای ارتباط با نویسندهی بدافزار، ارائه میشود. پس از اینکه قربانی باج درخواستی را پرداخت کرد، یک کلید رمزگشایی در اختیار او قرار داده میشود تا پس از وارد کردن آن در صفحهی قفلشده، مجدداً به پروندههای خود دسترسی داشته باشد.
در حال حاضر پروندههایی که با باجافزار RSAUtil رمزنگاری شدهاند، بهطور رایگاه قابل بازیابی نیستند. با این وجود به تمامی کاربران توصیه میشود از پرداخت باج به مهاجمان خودداری کنند چرا که واقعاً مشخص نیست پس از پرداخت باج، کاربر مجدداً بتواند پروندههای خود را بازیابی کند. داشتن نسخههای پشتیبان از تمامی پروندهها، در سناریوی آلوده شدن به باجافزارها میتواند بسیار کمککننده باشد.
منبع:security week
