اخبار

باج‌افزار جدید در چین، آلودگی بیش از صدهزار رایانه شخصی

در روزهای گذشته باج‌­افزار جدیدی به‌سرعت در چین در حال پخش شدن است که بیش از صد هزار رایانه را آلوده کرده و تعداد کاربران تأثیر گرفته روزبه‌روزدر حال افزایش است. نکته جالب در مورد این باج‌افزار این است که برخلاف اکثر باج افزارها، ویروس جدید درخواست پرداخت از طریق بیت کوین ندارد. در این باج‌افزار، مهاجمان درخواست پرداخت ۱۱۰ یوان از قربانیان (حدود۱۶ دلار) را دارند که از طریق پیام‌رسان محبوب چینی WeChatPay باید انجام شود. این باج‌افزار برخلاف باج­‌افزار WannaCry  و NotPetya که سال گذشته باعث آشوب جهانی شد، فقط کاربران چینی را مورد هدف قرار داده است و شامل قابلیت ­اضافی دیگر برای دزدیدن رمز حساب کاربران Alipay، سرویس پیام ‌الکترونیکی NetEase163 ، فضای ابری Baidu ،Jingdong (JD.com) ،Taobao ،Tmall ،AliWangWang و وب سایت‌­های QQ است.

با استناد به گزارش مرکز امنیت سایبری چین و شرکت آنتی­‌ویروس Velvet Security، مهاجمان کد مخرب را به نرم­‌افزار”EasyLanguage”، که توسط شمار زیادی از توسعه­‌دهندگان برنامه مورد استفاده قرار می­گیرد، اضافه‌کردند. نرم­‌افزارمخرب شناسایی‌شده برای تزریق کد باج­‌افزار به هر برنامه­ و نرم‌­افزار که از این طریق کامپایل شده‌­اند، طراحی‌شده بود.

بیش از صد هزار کاربر چینی که یکی از برنامه­‌های متاثر از لیست بالا را نصب کردند، در معرض خطرقرار دارند. این باج‌­افزار تمام فایل­‌های سیستم به جز فایل­‌های gif، exe و افزونه‌­های tmp را رمزگذاری می­‌کند. برای مقابله با برنامه‌های آنتی­‌ویروس، مهاجمان بدافزار خودشان را با یک امضای دیجیتال شناخته‌شده از Tencent Technologies، امضا می­‌کردند و از رمزگذاری برخی فایل­ها در دایرکتوری­‌های خاص خودداری می­­‌کردند. وقتی رمزگذاری انجام شد، باج­‌افزار نوشته‌ای را به صورت pop-up نمایش می­‌دهد، که از کاربر می­خواهد ۱۱۰ یوان به‌حساب WeChat مهاجمان در مدت زمان سه روز برای گرفتن کلید رمزگشایی پرداخت کند. اگر در مدت زمان نمایش داده‌شده پرداخت نشود، بدافزار تهدید به از بین بردن کلید رمزگشایی به صورت خودکار ازسرورهای کنترل و فرمان راه دور، می­‌کند. علاوه بر رمزگذاری فایل­‌های کاربر، باج­‌افزاربدون سروصدا اعتبارنامه ورود کاربران برای ورود به سایت های معروف چینی و حساب رسانه‌های اجتماعی را می‌دزدد و آن‌ها را به یک سرور راه دور می‌فرستد.  همچنین اطلاعات مربوط به سیستم را که شامل مدل cpu، اندازه صفحه‌نمایش، اطلاعات شبکه و فهرست برنامه‌های نصب‌شده می‌شود، جمع‌آوری می‌کند.

محققان امنیت سایبری چین متوجه شدند که این باج افزار مبتدیانه برنامه‌نویسی شده بود و مهاجمان در مورد پروسه رمزگذاری بلوف زده بودند. با توجه به یادداشت‌های ذکرشده توسط باج افزار، فایل‌های کاربران توسط الگوریتم رمزگذاری DES،رمزگذاری می‌شوند، اما در واقع، باج افزار داده‌ها را با استفاده از الگوریتم ناامن­تر رمزگذاری XOR رمز می‌کند و یک کپی از کلید رمزگشایی به صورت محلی برروی سیستم خود قربانی در این مسیرنگهداری می‌کند:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

‌با استفاده از این اطلاعات، تیم امنیتی Velvet یک ابزار رمزگشایی باج‌­افزار رایگان تولید وعرضه نمودند که به راحتی فایل‌های رمزگذاری شده قربانی را بدون نیاز به پرداخت باج، باز می‌کند. محققان همچنین موفق به کرک و دستیابی به سرورهای کنترل و فرمان و سرورهای پایگاه داده MySQL شده­ اند وتوانستد هزاران اعتبارنامه ذخیره‌شده در آن‌ها را به دست آوردند.

منبع: The Hacker News

باج‌افزار جدید در چین، آلودگی بیش از صدهزار رایانه شخصی

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top