اخبار

باج‌افزار GandCrab 2.1 با کمپین جدیدی از هرزنامه به‌سرعت در حال گسترش است

در چند روز گذشته، آزمایشگاه‌های FortiGuard شاهد رشد کمپین هرزنامه‌ها و به همراه آن، ظهور باج‌افزار GandCrab v2 بودند. این مقاله به اطلاعات اولیه در مورد این کمپین مخرب می‌پردازد و در آن جزئیاتی ارائه می‌شود که کاربران بتوانند این باج‌افزار را تشخیص دهند.

 

بهترین دفاع در برابر این نوع حملات سلامت سایبری و شیوه‌های ایمن است.

کمپین هرزنامه‌ها

تصویر زیر یک تصویر از KTIS (سیستم اطلاعات تهدیدات Kadena) است که خلاصه‌ای از یک کمپین هرزنامه را نشان می‌دهد که به‌تبع آن، باج‌افزار GandCrab v2 بروز یافته است.

text

تصویر ۱ – تصویر سازی KTIS از هرزنامه

جدا کردن یک شاخه از تصویر به ما کمک می‌کند که با جزئیات بیشتری به کمپین نگاه کنیم. شکل زیر ایمیل‌های مختلفی را نشان می‌دهد که حاوی کد جاوا اسکریپت‌اند. زمانی که کد اجرا می‌شود، نوعی از Gandcrab v2.1 را از آدرس http[:]//185.189.58.222/uh.exe دانلود می‌کند.

علاوه بر این، گراف نشان می‌دهد که در حال حاضر، سه هش منحصربه‌فرد از Gandcrab v2.1  در آدرس فوق میزبانی‌شده است (در حال حاضر سه نوع مختلف از این باج‌افزار وجود دارد). به این معنا که نمونه‌های تازه ایجادشده، احتمالاً با تنظیمات متفاوت، یا به‌صورت ساده‌تر برای فرار از امضاهای یک فایل خاص، هم‌زمان وارد می‌شوند.

موجودیت پشت این آدرس IP علاوه بر GandCrab، بدافزارهای دیگری را نیز میزبانی می‌کند. ازجمله این بدافزارها می‌توان به کرم Phorpiex اشاره کرد که به backdoor ها دسترسی و کنترل می‌دهد، مورد دیگر تروجان IRCbot است، به مهاجمان دسترسی از راه دور می‌دهد تا سیستم را آلوده کند.

text

تصویر ۲ – یک زنجیره از کمپین هرزنامه GandCrab 2.1

همان‌طور که در بالا اشاره شد، در نمونه‌ی هرزنامه‌ی ایمیل، کدهای جاوا اسکریپت ضمیمه‌شده با فرمت نام فایل به‌صورت DOC<NUMBERS>.zip قرار دارند. به‌صورت عملی، محتوای ایمیل‌ها مشابه شکل بعدی است.

در نمونه ایمیل‌های هرزنامه، موضوعات زیر مشاهده‌شده است:

  • Document #<NUMBERS>
  • Invoice #<NUMBERS>
  • Order #<NUMBERS>
  • Payment #<NUMBERS>
  • Payment Invoice #<NUMBERS>
  • Ticket #<NUMBERS>
  • Your Document #<NUMBERS>
  • Your Order #<NUMBERS>
  • Your Ticket #<NUMBERS>

text

تصویر ۳ – نمونه هرزنامه ایمیل حاوی GandCrab v2.1

توزیع جغرافیایی

گراف زیر جزئیاتی را در مورد توزیع هرزنامه‌ها بر اساس دامنه‌ی گیرنده ایمیل‌ها نشان می‌دهد. این گراف با استفاده از هرزنامه‌های ایمیل جمع‌آوری‌شده در هفته گذشته، به‌دست‌آمده‌اند. همان‌طور که دیده می‌شود، سرورهای ایمیلی که در آمریکا میزبانی می‌کنند، گیرنده‌های اصلی این کمپین هستند.

text

تصویر ۴ – توزیع جغرافیایی بر اساس دامنه های گیرندگان ایمیل

از طرف دیگر گراف زیر به‌صورت جامع‌تری چشم‌انداز آلودگی واقعی GandCrab در طول ماه اخیر را نشان می‌دهد. اگر تنها زمان‌بندی را مدنظر قرار دهیم، (بازه‌ی ۲۵ تا ۲۸ فروردین)، مشاهده می‌شود که درزمانی که این کمپین کشف‌شده است، آلودگی مبتنی بر آن‌هم افزایش‌یافته است.

https://www.fortinet.com/blog/threat-research/gandcrab-2-1-ransomware-on-the-rise-with-new-spam-campaign/_jcr_content/root/responsivegrid/image_160822560.img.png

تصویر ۵ – جدول زمان بندی آلودگی GandCrab در ماه گذشته

همان‌طور که گراف زیر نشان می‌دهد، ازنظر آلودگی‌های موفق GandCrab، هندوستان در رتبه‌ی نخست ایستاده است.

text

تصویر ۶ – گراف جغرافیایی آلودگی GandCrab

بازیابی فایل

text

تصویر ۷ – فایل های رمز شده با افزونه Crab

چیزی که در باج‌افزار نوشته‌شده است، یک لینک به سایت onion برای دریافت رمزگشای فایل است که کاربر از طریق مرورگر TOR به لینک مراجعه می‌کند. مرورگر TOR برای جست‌وجو و دانلود به‌صورت ناشناس طراحی‌شده است. صفحه‌ی بازشده اطلاعات معمول باج‌افزاری ازجمله دستورالعمل‌های بعدی و مقدار باج اولیه که قرار است باگذشت زمان مشخصی دو برابر شود را نمایش می‌دهد.

ما کاربران را به‌صورت اکید از پرداخت بازمی‌داریم زیرا پس پرداخت هیچ عملی از سوی عاملان تضمین نمی‌شود.

text

تصویر ۸ – نوشته‌های باج‌خواهی

text

تصویر ۹ – صفحه پرداخت که دوبرابر شدن قیمت رمزگشایی فایل‌ها را پس از به اتمام رسیدن زمان تعیین شده نشان می دهد

نتیجه‌گیری

باج‌افزار GandCrab، یا هر نوع باج‌افزار دیگر، می‌تواند آسیب‌های غیرقابل بازگشتی را به یک سیستم آلوده وارد کند. بهترین دفاع در برابر این نوع حملات سلامت سایبری و شیوه‌های ایمن است.

در این مورد، به یاد داشته باشید که باید همواره در برابر ایمیل‌های ناخواسته، به‌خصوص آن‌هایی که ضمیمه‌های قابل‌اجرا دارند، هوشیار باشید.

اگر چنین نبود، اطمینان حاصل کنید که همواره یک نسخه‌ی پشتیبان از سیستم خود را در یک محیط شبکه ایزوله ذخیره کنید تا بتوانید سیستم مورد بهره‌برداری قرارگرفته خود را بازیابی کنید.

طبق معمول، آزمایشگاه‌های FortiGuard به نظارت فعالیت GandCrab و سایر بدافزارهایی که توسط این کمپین‌های هرزنامه توزیع‌شده‌اند، ادامه خواهند داد.

 

قابل توجه کاربران Fortinet

کاربران Fortinet با راه‌حل‌های زیر محافظت‌شده‌اند:

  • ایمیل‌ها توسط سرویس FortiGuard AntiSpam مسدود شده‌اند.
  • فایل‌های داخل زنجیره حمله توسط آنتی‌ویروس FortiGuard کشف‌شده‌اند.
  • آدرس‌های دانلود مخرب و C2 ها توسط سرویس فیلترینگ وب FortiGuard مسدود شده‌اند.
  • FortiSandbox، هر نقطه اجرا در زنجیره حمله را به‌عنوان “ریسک بالا” رتبه دهی کرده است.

 

منبع: Fortinet

باج‌افزار GandCrab 2.1 با کمپین جدیدی از هرزنامه به‌سرعت در حال گسترش است

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top