تحلیل بدافزار

باج‌افزار WannaCry همچنان در هزاران سیستم در کمین است

یک سال و نیم از زمان انتشار اولیه باج‌افزارWannaCry  می‌گذرد و بیش از نیم میلیون کامپیوتر همچنان آلوده هستند. هرچند این باج‌افزار در ایالات‌متحده و بریتانیا تقریباً ریشه‌کن شده است، اما در سایر نقاط جهان همچنان یک مشکل اساسی بشمار می‌رود و داده‌های اخیر نشان می‌دهند که صدها هزار رایانه همچنان با نرم‌افزارهای مخرب آلوده‌شده‌اند.

یک محقق امنیتی به نام Marcus Hutchins در شرکت Kryptos Logic، نحوه عملکرد این بدافزار را شناسایی کرده و آن را غیرفعال کرده است. این شرکت ابزاری به نام TellTale دارد که آلودگی‌های WannaCry را شناسایی می‌کند. مدیران می‌توانند آن را به‌منظور جستجو و نظارت بر طیف وسیعی از آدرس‌های IP مورداستفاده قرار دهند. همچنین TellTale می‌تواند انواع دیگر بدافزار را نیز شناسایی کند.

در تحلیل باج‌افزار، این محقق به قسمتی از کد دست‌یافته است که به یک دامنه عجیب (به آدرس http[:]//iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) اشاره می‌کرد. این دامنه ثبت‌نشده بود، و سازندگان باج‌افزار از آن برای یک کلید خاموش/روشن استفاده می‌کنند. WannaCry به‌صورت دوره‌ای این آدرس را پینگ می‌کند. تا زمانی که دامنه در حال اجرا است، نرم‌افزار فایل‌ها را رمزنگاری نمی‌کند، اما اگر در حال اجرا نباشد، بدافزارها وارد عمل می‌شوند و شروع به ایجاد اختلال می‌کنند.

هم‌اکنون این دامنه فعال است و درنتیجه این باج‌افزار فعالیت نمی‌کند. این گروه امنیتی با رصد دامنه مشاهده کردند که این آدرس بیش از ۱۷ میلیون بار پینگ دریافت کرد که از بیش از ۶۳۰۰۰۰ آدرس آی‌پی منحصربه‌فرد در ۱۹۴ کشور مختلف بوده است.

چین، اندونزی و ویتنام، سه کشور برتر از طریق آلودگی هستند و تقریباً نیمی از ترافیک دامنه از این مناطق است. این آمار در شکل زیر آمده است.

باج‌افزار WannaCry

علاوه بر این مشخص شد که این دامنه در روزهای غیر تعطیل هفته فعال‌تر از روزهای آخر هفته است؛ که نشان می‌دهد رایانه‌های سازمانی بیشتر آلوده هستند.

مطالب مرتبط:
افزایش فعالیت باج افزار SamSam در سال ۲۰۱۸ باهدف قرار دادن سازمان‌ها
هشدار: باج‌افزار Rapid به سرعت در حال انتشار است!
باج‌افزار جدید در چین، آلودگی بیش از صدهزار رایانه شخصی

منبع: TECHSPOT

باج‌افزار WannaCry همچنان در هزاران سیستم در کمین است
To Top