03/09/1403  
 
یکشنبه, ۲۴ اردیبهشت ۱۳۹۶ ۲۰:۲۸ ۳۲
طبقه بندی:
  • صنفی
  • اخبار سازمان
چچ
مقصر کیست؟ یک خانواده از باج‌افزاری جدید به نام WannaCry یا WCry.

باجگیر WannaCry از اکسپلویت شناخته شده‌ی آژانس امنیت ملی آمریکا استفاده می‌کند.

مقصر کیست؟ یک خانواده از باج‌افزاری جدید به نام WannaCry یا WCry.

امسی‌سافت: در رصدهای امروزمان متوجه شدیم، که WCry تمام توجه تیم را به خاطر شیوع آن از طریق خلاءهای امنیتی در نرم‌افزارهای آژانس امنیت ملی آمریکا (NSA) که توسط گروه هکری Shadow broker کشف شده، به خود معطوف کرده است. WCry بسیاری از سازمان‌ها و مؤسسات دولتی و خصوصی از جمله Telco Giant Telefonica (شرکت مخابراتی تِلِفونیکا) در اسپانیا و National Health Service (سرویس سلامت ملی) در انگلستان، را شگفت زده کرد، و هم اکنون دها هزار کامپیوتر در سراسر جهان را آلوده کرده است!

 

محققان امنیتی در MalwareTech موفق به طراحی نقشه شیوع آلودگی جهانی به همراه یک نقشه آنلاین افزایش آلودگی به این باج‌افزار شده‌اند، که تجسم کردن آلودگی به باج‌افزار WCry برای ما راحت شود. هم اکنون بیش از 70،000 سیستم به این باج‌افزار آلوده شده‌اند.

با باج‌افزار WCry بیشتر آشنا شوید.

باج‌افزار WCry، که همچنین به نام‌های WNCry، WannaCry، WanaCrypt0r و Wana Decrypt0r شناخته می‌شود، اساساً در کمپین‌های حملات باج‌افزاری در اسفند ماه 1395 (February 2017) و بیشتر در فروردین ماه 1396 (March 2017) مورد توجه قرار گرفت. اما تا پیش از امروز به عنوان یک تهدید امنیتی جهانی ثبت نشده نبود.

این باج‌افزار به زبان CPP نوشته شده بود که هیچ تلاشی نیز برای مخفی بودن کد اصلی در آن مشاهده نشد. مانند بسیاری از خانواده‌ی باج‌افزارها، WCry در فرآیند رمزگذاری پس از تعویض نام فایل‌ها و فرمت آن را نیز به WNCRY. تغییر می‌دهد.

پس از آلوده شدن سیستم، صفحه‌ای باج خواهانه، مبنی‌بر پرداخت بیت‌کوین به ارزش 300 دلار را نمایش می‌دهد:

بر خلاف اکثر کمپین‌های حملات باج‌افزاری، که معمولاً مناطق خاصی در دنیا را هدف قرار داده‌اند، WCry تمام سیستم‌ها در سرتاسر دنیا را هدف گرفته است. بنابراین تعجب نمی‌کنید اگر بگوییم که پیغام باج‌خواهانه‌ی آن برای بیش از 20 زبان دنیا طراحی شده است:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

چگونه سیستم شما به باج‌افزار WCry آلوده می‌شود؟

در حال حاضر WCry در درجه اول از طریق خلاء امنیتی که اخیراً توسط تیم هکری Shadow broker در سازمان امنیت ملی آمریکا (National Security Agency) شناسایی شده شیوع می‌یابد. به طور خاص نیز محقق فرانسوی Kaffine به عنوان اولین شناسایی متوجه شد که WCry از طریق خلاء امنیتی EternalBlue گسترش میابد.

خلاء امنیتی EternalBlue یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت است که به هکر اجازه کنترل سیستم را در موارد زیر می‌دهد:

  • پروتکل SMBv1 را فعال می‌کند،
  • و سیستم از طریق اینترنت در دسترس می‌باشد،
  • و در آخرین بروز رسانی امنیتی میکروسافت به نام MS17-010 fix که در فروردین ماه 1396 (March 2017) منتشر شد، رفع نشده است.

همچنین به نظر می‌رسد که طراحان این مخرب از یک backdoor موسوم به DOUBLESPEAR که معمولاً از طریق خلاء ETERNALBLUE نصب می‌شود، سود جسته‌اند و مصرانه در سیستم باقی می‌مانند. بنابراین اگر سیستم شما قبلاً از طریق خلاء امنیتی ETERNALBLUE در معرض خطر قرار گرفته، ممکن است هنوز آسیب پذیر باشد، حتی اگر معضل پروتکل SMBv1 مایکروسافت برطرف شده باشد.

خود فایل اجرایی این باج‌افزار را به بهترین شکل می‌توان یه یک قطره چکان توصیف کرد، که تمام بخش‌های مختلف باج‌افزارهای دیگر را در قالب یک فایل فشرده شده‌ی رمزدار درون خود جای داده است. پس از اجرا، شروع به باز کردن فایل‌های فشرده‌ی هر بخش در پوشه‌ای که توسط رمزعبور "WNcry@2ol7" و بسیار پیچیده کُد شده است، می‌نماید. یک بازرسی دقیق‌تر از فایل فشرده فایل‌های زیر را نمایش می‌دهد:
 

  • b.wnry - تصویر دسکتاپ مربوط به باج‌افزار
  • c.wnry - فایل پیکربندی شامل آدرس سرور C2، کیف‌پول بیت‌کوین و ...
  • r.wnry - پیغام باج‌خواهانه
  • s.wnry - فایل فشرده شامل TOR کلاینت
  • t.wnry - بخش رمزگذاری باج‌افزار که با استفاده از فرمت مخصوص WanaCry رمزنگاری شده است؛ که امکان رمزگشایی آن توسط کلید اختصاصی که در فایل اجرایی باج‌افزار جاسازی شده، ممکن است.
  • u.wnry - فایل اجرایی رمزگشا
  • Taskdl.exe - تمام فایل‌های موقتی که در فرآیند رمزگذاری ایجاد شده‌اند را پاکسازی می‌کند (WNCRYT.)
  • Taskse.exe - برنامه باج‌افزار را در تمام جلسات فعال (Sessions) کاربر اجرا می‌کند.
  • msg\* - فایل‌های مربوط به زبان (در حال حاضر 28 زبان مختلف)

علاوه بر موارد ذکر شده باج‌افزار فایهای اضافی دیگری نیز تولید می‌کند:

  • 00000000.eky - کلید رمزگشایی برای فایل t.wnry که فایل اصلی رمزگذاری باج‌افزار را نگهداری می‌کند. این فایل توسط یک کلید عمومی رمزگذاری شده که متعلق به یک کلید خصوصی است که درون باج‌افزار جاسازی (Embedded) شده است.
  • 00000000.pky - کلید عمومی که توسط باج‌افزار برای رمزگذاری کلیدهای AES استفاده می‌شود که فایل‌های کاربر را رمزگذاری می‌کند.
  • 00000000.res - نتایج ارتباطات C2

می‌توانید لیستی از تمام تغییراتی که توسط باج‌افزار به سیستم قربانی اعمال شده است، در انتهای مطلب در بخش "شاخص‌های سازش" بیابید.

سیستم رمزگذاری و رمزگشایی WCry:

باج‌افزار WCry ترکیبی از تکنولوژی RSA و AES-128-CBC را برای رمزگذاری فایل‌های سیستم قربانی به کار می‌گیرد. برای ساده‌ سازی این فرآیند، از ابزار ویندوزی CryptoAPI برای RSA، اما با یک پیاده‌سازی سفارشی شده با استفاده از تکنولوژی AES، استفاده می‌کند. جالب توجه است که فرآیند روتین رمزگذاری در فایل t.wnry ذخیره می‌شود، که خود این فایل نیز توسط باج‌افزار با روش مشابهی رمزگذاری می‌شود. این عملیات برای هرچه پیچیده‌سازی فرآیند رمزگذاری و آنالیز این مخرب صورت گرفته است. ماژول مورد نظر از طریق یک بارگزار سفارشی در حافظه قرار می‌گیرد و از آنجا اجرا می‌شود، بدون آنکه حتی روی هارد دیسک سیستم قربانی به صورت رمزگشایی شده بارگزاری شود!

زمانی که WCry به یک سیستم می‌رسد، ابتدا یک کلید خصوصی کُد شده‌ی RSA را وارد می‌کند، که عمل رمزگشایی از «بخش رمزگذار فایل‌ها» را انجام می‌دهد که در "t.wnry" ذخیره شده است. به محض پایان، باج‌افزار یک کلید خصوصی RSA تولید می‌کند. سپس کلید RSA به مرکز فرمان و کنترل باج‌افزار ارسال می‌شود و یک کپی از این کلید عمومی تولید شده در سیستم ذخیره می‌شود.

سپس باج‌افزار تمام درایوها و پوشه‌های اشتراکی در شبکه آن سیستم را برای یافتن فایل‌هایی با پسوندهای زیر، جستجو میکند:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

پس از پایان، این باج افزار یک کلید جدید 128 بیتی AES برای هر فایلی که پیدا کند می‌سازد که با استفاده از کلید عمومی RSA که قبلا تولید شده است و کلید AES رمزنگاری شده‌ی RSA همراه با نشانگر فایل “WANACRY!” در هدر فایل رمزگذاری شده ذخیره می‌شود. کلید AES سپس برای رمزگذاری محتوای فایل استفاده می‌شود.

متأسفانه پس از ارزیابی روشی که WCry برای رمزگذاری انجام می‌دهد، راهی برای بازگردانی فایل‌های رمزگذاری شده بدون دسترسی به کلید خصوصی ایجاد شده توسط باجگیر وجود ندارد. بنابراین ارائه رمزگشا برای باجگیر WCry ممکن نیست!

 

چگونه می‌توانم از خود در برابر WCry محافظت کنم؟
همانطور که در مقاله‌ی باجگیر (ransomware) توضیح داده‌ایم، همچنان بهترین حفاظت، استراتژی قابل اعتماد و ثابت شده‌ی پشتیبان‌گیری (backup) است، مخصوصاً اگر که رمزگذاری توسط باجگیر WCry انجام شود. تنها راه برای بازگرداندن اطلاعات، تماس با نویسنده‌ی باجگیر برای کمک گرفتن از او یا بازگردانی اطلاعات از پشتیبان است.مطمئن شوید که به‌روزرسانی‌های حیاتی ویندوز را نصب کرده‌اید که این مورد یک گام بسیار مهم برای حفاظت از سیستم است چراکه به نظر می‌رسد اکنون تنها راه گسترش WCry از طریق اکسپلویت SMBv1 است که در حدود 2 ماه قبل پتچ (برطرف) شده است. به غیر از پشتیبان‌گیری منظم، شما خوشحال خواهید شد که بشنوید تکنولوژی رفتارشناسی استفاده شده در ضد مخرب و اینترنت‌سکیوریتیامسی‌سافت ثابت کرده است که بهترین دفاع ثانوی خواهد بود چرا که باجگیر را قبل از اینکه بتواند اجرا شود، به دام انداخت. در نتیجه یک بار دیگر از کاربران ما در برابر این مخرب و صدها مورد دیگر از خانواده‌ی‌ باجگیرها بدون نیاز به به‌روزرسانی محافظت کرد.



  کاربران ضد مخرب و اینترنت‌سکیوریتی امسی‌سافت توسط تکنولوژی رفتارشناسی (Behavior Blocker) در برابر WCry محافظت می‌شوند.


کلید های رجیستری:

  • HKLM\SOFTWARE\WanaCrypt0r
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
  • HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”

 فایل های سیستم:

  • @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
  • @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
  • %DESKTOP%\@WanaDecryptor@.bmp
  • %DESKTOP%\@WanaDecryptor@.exe
  • %APPDATA%\tor\cached-certs
  • %APPDATA%\tor\cached-microdesc-consensus
  • %APPDATA%\tor\cached-microdescs.new
  • %APPDATA%\tor\lock
  • %APPDATA%\tor\state
  • <ransomware directory>\00000000.eky
  • <ransomware directory>\00000000.pky
  • <ransomware directory>\00000000.res
  • <ransomware directory>\@WanaDecryptor@.bmp
  • <ransomware directory>\@WanaDecryptor@.exe
  • <ransomware directory>\b.wnry
  • <ransomware directory>\c.wnry
  • <ransomware directory>\f.wnry
  • <ransomware directory>\msg\m_bulgarian.wnry
  • <ransomware directory>\msg\m_chinese (simplified).wnry
  • <ransomware directory>\msg\m_chinese (traditional).wnry
  • <ransomware directory>\msg\m_croatian.wnry
  • <ransomware directory>\msg\m_czech.wnry
  • <ransomware directory>\msg\m_danish.wnry
  • <ransomware directory>\msg\m_dutch.wnry
  • <ransomware directory>\msg\m_english.wnry
  • <ransomware directory>\msg\m_filipino.wnry
  • <ransomware directory>\msg\m_finnish.wnry
  • <ransomware directory>\msg\m_french.wnry
  • <ransomware directory>\msg\m_german.wnry
  • <ransomware directory>\msg\m_greek.wnry
  • <ransomware directory>\msg\m_indonesian.wnry
  • <ransomware directory>\msg\m_italian.wnry
  • <ransomware directory>\msg\m_japanese.wnry
  • <ransomware directory>\msg\m_korean.wnry
  • <ransomware directory>\msg\m_latvian.wnry
  • <ransomware directory>\msg\m_norwegian.wnry
  • <ransomware directory>\msg\m_polish.wnry
  • <ransomware directory>\msg\m_portuguese.wnry
  • <ransomware directory>\msg\m_romanian.wnry
  • <ransomware directory>\msg\m_russian.wnry
  • <ransomware directory>\msg\m_slovak.wnry
  • <ransomware directory>\msg\m_spanish.wnry
  • <ransomware directory>\msg\m_swedish.wnry
  • <ransomware directory>\msg\m_turkish.wnry
  • <ransomware directory>\msg\m_vietnamese.wnry
  • <ransomware directory>\r.wnry
  • <ransomware directory>\s.wnry
  • <ransomware directory>\t.wnry
  • <ransomware directory>\TaskData\Tor\libeay32.dll
  • <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
  • <ransomware directory>\TaskData\Tor\libssp-0.dll
  • <ransomware directory>\TaskData\Tor\ssleay32.dll
  • <ransomware directory>\TaskData\Tor\taskhsvc.exe
  • <ransomware directory>\TaskData\Tor\tor.exe
  • <ransomware directory>\TaskData\Tor\zlib1.dll
  • <ransomware directory>\taskdl.exe
  • <ransomware directory>\taskse.exe
  • <ransomware directory>\u.wnry
  • C:\@WanaDecryptor@.exe
منبع: 
 امسی‌سافت

 

منبع:
آدرس کوتاه شده: