با باجافزار WCry بیشتر آشنا شوید.
باجافزار WCry، که همچنین به نامهای WNCry، WannaCry، WanaCrypt0r و Wana Decrypt0r شناخته میشود، اساساً در کمپینهای حملات باجافزاری در اسفند ماه 1395 (February 2017) و بیشتر در فروردین ماه 1396 (March 2017) مورد توجه قرار گرفت. اما تا پیش از امروز به عنوان یک تهدید امنیتی جهانی ثبت نشده نبود.
این باجافزار به زبان CPP نوشته شده بود که هیچ تلاشی نیز برای مخفی بودن کد اصلی در آن مشاهده نشد. مانند بسیاری از خانوادهی باجافزارها، WCry در فرآیند رمزگذاری پس از تعویض نام فایلها و فرمت آن را نیز به WNCRY. تغییر میدهد.
پس از آلوده شدن سیستم، صفحهای باج خواهانه، مبنیبر پرداخت بیتکوین به ارزش 300 دلار را نمایش میدهد:
بر خلاف اکثر کمپینهای حملات باجافزاری، که معمولاً مناطق خاصی در دنیا را هدف قرار دادهاند، WCry تمام سیستمها در سرتاسر دنیا را هدف گرفته است. بنابراین تعجب نمیکنید اگر بگوییم که پیغام باجخواهانهی آن برای بیش از 20 زبان دنیا طراحی شده است:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese
چگونه سیستم شما به باجافزار WCry آلوده میشود؟
در حال حاضر WCry در درجه اول از طریق خلاء امنیتی که اخیراً توسط تیم هکری Shadow broker در سازمان امنیت ملی آمریکا (National Security Agency) شناسایی شده شیوع مییابد. به طور خاص نیز محقق فرانسوی Kaffine به عنوان اولین شناسایی متوجه شد که WCry از طریق خلاء امنیتی EternalBlue گسترش میابد.
خلاء امنیتی EternalBlue یک آسیبپذیری در پروتکل SMBv1 مایکروسافت است که به هکر اجازه کنترل سیستم را در موارد زیر میدهد:
- پروتکل SMBv1 را فعال میکند،
- و سیستم از طریق اینترنت در دسترس میباشد،
- و در آخرین بروز رسانی امنیتی میکروسافت به نام MS17-010 fix که در فروردین ماه 1396 (March 2017) منتشر شد، رفع نشده است.
همچنین به نظر میرسد که طراحان این مخرب از یک backdoor موسوم به DOUBLESPEAR که معمولاً از طریق خلاء ETERNALBLUE نصب میشود، سود جستهاند و مصرانه در سیستم باقی میمانند. بنابراین اگر سیستم شما قبلاً از طریق خلاء امنیتی ETERNALBLUE در معرض خطر قرار گرفته، ممکن است هنوز آسیب پذیر باشد، حتی اگر معضل پروتکل SMBv1 مایکروسافت برطرف شده باشد.
خود فایل اجرایی این باجافزار را به بهترین شکل میتوان یه یک قطره چکان توصیف کرد، که تمام بخشهای مختلف باجافزارهای دیگر را در قالب یک فایل فشرده شدهی رمزدار درون خود جای داده است. پس از اجرا، شروع به باز کردن فایلهای فشردهی هر بخش در پوشهای که توسط رمزعبور "WNcry@2ol7" و بسیار پیچیده کُد شده است، مینماید. یک بازرسی دقیقتر از فایل فشرده فایلهای زیر را نمایش میدهد:
- b.wnry - تصویر دسکتاپ مربوط به باجافزار
- c.wnry - فایل پیکربندی شامل آدرس سرور C2، کیفپول بیتکوین و ...
- r.wnry - پیغام باجخواهانه
- s.wnry - فایل فشرده شامل TOR کلاینت
- t.wnry - بخش رمزگذاری باجافزار که با استفاده از فرمت مخصوص WanaCry رمزنگاری شده است؛ که امکان رمزگشایی آن توسط کلید اختصاصی که در فایل اجرایی باجافزار جاسازی شده، ممکن است.
- u.wnry - فایل اجرایی رمزگشا
- Taskdl.exe - تمام فایلهای موقتی که در فرآیند رمزگذاری ایجاد شدهاند را پاکسازی میکند (WNCRYT.)
- Taskse.exe - برنامه باجافزار را در تمام جلسات فعال (Sessions) کاربر اجرا میکند.
- msg\* - فایلهای مربوط به زبان (در حال حاضر 28 زبان مختلف)
علاوه بر موارد ذکر شده باجافزار فایهای اضافی دیگری نیز تولید میکند:
- 00000000.eky - کلید رمزگشایی برای فایل t.wnry که فایل اصلی رمزگذاری باجافزار را نگهداری میکند. این فایل توسط یک کلید عمومی رمزگذاری شده که متعلق به یک کلید خصوصی است که درون باجافزار جاسازی (Embedded) شده است.
- 00000000.pky - کلید عمومی که توسط باجافزار برای رمزگذاری کلیدهای AES استفاده میشود که فایلهای کاربر را رمزگذاری میکند.
- 00000000.res - نتایج ارتباطات C2
میتوانید لیستی از تمام تغییراتی که توسط باجافزار به سیستم قربانی اعمال شده است، در انتهای مطلب در بخش "شاخصهای سازش" بیابید.
سیستم رمزگذاری و رمزگشایی WCry:
باجافزار WCry ترکیبی از تکنولوژی RSA و AES-128-CBC را برای رمزگذاری فایلهای سیستم قربانی به کار میگیرد. برای ساده سازی این فرآیند، از ابزار ویندوزی CryptoAPI برای RSA، اما با یک پیادهسازی سفارشی شده با استفاده از تکنولوژی AES، استفاده میکند. جالب توجه است که فرآیند روتین رمزگذاری در فایل t.wnry ذخیره میشود، که خود این فایل نیز توسط باجافزار با روش مشابهی رمزگذاری میشود. این عملیات برای هرچه پیچیدهسازی فرآیند رمزگذاری و آنالیز این مخرب صورت گرفته است. ماژول مورد نظر از طریق یک بارگزار سفارشی در حافظه قرار میگیرد و از آنجا اجرا میشود، بدون آنکه حتی روی هارد دیسک سیستم قربانی به صورت رمزگشایی شده بارگزاری شود!
زمانی که WCry به یک سیستم میرسد، ابتدا یک کلید خصوصی کُد شدهی RSA را وارد میکند، که عمل رمزگشایی از «بخش رمزگذار فایلها» را انجام میدهد که در "t.wnry" ذخیره شده است. به محض پایان، باجافزار یک کلید خصوصی RSA تولید میکند. سپس کلید RSA به مرکز فرمان و کنترل باجافزار ارسال میشود و یک کپی از این کلید عمومی تولید شده در سیستم ذخیره میشود.
سپس باجافزار تمام درایوها و پوشههای اشتراکی در شبکه آن سیستم را برای یافتن فایلهایی با پسوندهای زیر، جستجو میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h
پس از پایان، این باج افزار یک کلید جدید 128 بیتی AES برای هر فایلی که پیدا کند میسازد که با استفاده از کلید عمومی RSA که قبلا تولید شده است و کلید AES رمزنگاری شدهی RSA همراه با نشانگر فایل “WANACRY!” در هدر فایل رمزگذاری شده ذخیره میشود. کلید AES سپس برای رمزگذاری محتوای فایل استفاده میشود.
متأسفانه پس از ارزیابی روشی که WCry برای رمزگذاری انجام میدهد، راهی برای بازگردانی فایلهای رمزگذاری شده بدون دسترسی به کلید خصوصی ایجاد شده توسط باجگیر وجود ندارد. بنابراین ارائه رمزگشا برای باجگیر WCry ممکن نیست!
چگونه میتوانم از خود در برابر WCry محافظت کنم؟
همانطور که در مقالهی باجگیر (ransomware) توضیح دادهایم، همچنان بهترین حفاظت، استراتژی قابل اعتماد و ثابت شدهی پشتیبانگیری (backup) است، مخصوصاً اگر که رمزگذاری توسط باجگیر WCry انجام شود. تنها راه برای بازگرداندن اطلاعات، تماس با نویسندهی باجگیر برای کمک گرفتن از او یا بازگردانی اطلاعات از پشتیبان است.مطمئن شوید که بهروزرسانیهای حیاتی ویندوز را نصب کردهاید که این مورد یک گام بسیار مهم برای حفاظت از سیستم است چراکه به نظر میرسد اکنون تنها راه گسترش WCry از طریق اکسپلویت SMBv1 است که در حدود 2 ماه قبل پتچ (برطرف) شده است. به غیر از پشتیبانگیری منظم، شما خوشحال خواهید شد که بشنوید تکنولوژی رفتارشناسی استفاده شده در ضد مخرب و اینترنتسکیوریتیامسیسافت ثابت کرده است که بهترین دفاع ثانوی خواهد بود چرا که باجگیر را قبل از اینکه بتواند اجرا شود، به دام انداخت. در نتیجه یک بار دیگر از کاربران ما در برابر این مخرب و صدها مورد دیگر از خانوادهی باجگیرها بدون نیاز به بهروزرسانی محافظت کرد.
کاربران ضد مخرب و اینترنتسکیوریتی امسیسافت توسط تکنولوژی رفتارشناسی (Behavior Blocker) در برابر WCry محافظت میشوند.
کلید های رجیستری:
- HKLM\SOFTWARE\WanaCrypt0r
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
- HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
- HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
- HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”
فایل های سیستم:
- @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
- @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
- %DESKTOP%\@WanaDecryptor@.bmp
- %DESKTOP%\@WanaDecryptor@.exe
- %APPDATA%\tor\cached-certs
- %APPDATA%\tor\cached-microdesc-consensus
- %APPDATA%\tor\cached-microdescs.new
- %APPDATA%\tor\lock
- %APPDATA%\tor\state
- <ransomware directory>\00000000.eky
- <ransomware directory>\00000000.pky
- <ransomware directory>\00000000.res
- <ransomware directory>\@WanaDecryptor@.bmp
- <ransomware directory>\@WanaDecryptor@.exe
- <ransomware directory>\b.wnry
- <ransomware directory>\c.wnry
- <ransomware directory>\f.wnry
- <ransomware directory>\msg\m_bulgarian.wnry
- <ransomware directory>\msg\m_chinese (simplified).wnry
- <ransomware directory>\msg\m_chinese (traditional).wnry
- <ransomware directory>\msg\m_croatian.wnry
- <ransomware directory>\msg\m_czech.wnry
- <ransomware directory>\msg\m_danish.wnry
- <ransomware directory>\msg\m_dutch.wnry
- <ransomware directory>\msg\m_english.wnry
- <ransomware directory>\msg\m_filipino.wnry
- <ransomware directory>\msg\m_finnish.wnry
- <ransomware directory>\msg\m_french.wnry
- <ransomware directory>\msg\m_german.wnry
- <ransomware directory>\msg\m_greek.wnry
- <ransomware directory>\msg\m_indonesian.wnry
- <ransomware directory>\msg\m_italian.wnry
- <ransomware directory>\msg\m_japanese.wnry
- <ransomware directory>\msg\m_korean.wnry
- <ransomware directory>\msg\m_latvian.wnry
- <ransomware directory>\msg\m_norwegian.wnry
- <ransomware directory>\msg\m_polish.wnry
- <ransomware directory>\msg\m_portuguese.wnry
- <ransomware directory>\msg\m_romanian.wnry
- <ransomware directory>\msg\m_russian.wnry
- <ransomware directory>\msg\m_slovak.wnry
- <ransomware directory>\msg\m_spanish.wnry
- <ransomware directory>\msg\m_swedish.wnry
- <ransomware directory>\msg\m_turkish.wnry
- <ransomware directory>\msg\m_vietnamese.wnry
- <ransomware directory>\r.wnry
- <ransomware directory>\s.wnry
- <ransomware directory>\t.wnry
- <ransomware directory>\TaskData\Tor\libeay32.dll
- <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
- <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
- <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
- <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
- <ransomware directory>\TaskData\Tor\libssp-0.dll
- <ransomware directory>\TaskData\Tor\ssleay32.dll
- <ransomware directory>\TaskData\Tor\taskhsvc.exe
- <ransomware directory>\TaskData\Tor\tor.exe
- <ransomware directory>\TaskData\Tor\zlib1.dll
- <ransomware directory>\taskdl.exe
- <ransomware directory>\taskse.exe
- <ransomware directory>\u.wnry
- C:\@WanaDecryptor@.exe