انتشار باجگیر CryptoLuck در سایتهای غیراخلاقی
[ad_1]
هکرها برای نفوذ و آلوده نمودن کامپیوتر قربانیان خود پیش از هر چیز از غفلت و ناآگاهی آنان سود می برند و سعی میکنند با ارائه محتوای جذاب و اغواگر آنها را به سمت اجرای برنامههای آلوده هدایت کنند. با توجه به این نکته و عدم نظارت بر محتوای صفحات غیراخلاقی، این صفحات تلههای خوبی برای به دام انداختن کاربران هستند. ارائهی برنامههای مخرب از طریق این صفحات یکی از روشهای متداول مورد استفاده هکرها است و بسیاری بدافزارها از این طریق منتشر میشوند.
باج افزار CryptoLuck نوع جدیدی از خانواده بدافزارها است که توسط Kafeine شناسایی شده و در حال حاضر از طریق RIG-E exploit kit در حال انتشار است
محققی به نام Kafeine خانواده ای جدید از باج افزارها ملقب به CryptoLuck را معرفی نمود. این بدافزار با استفاده از اهرم DLL و همچنین سوء استفاده از GoogleUpdate.exe اقدام به آلوده نمودن رایانه ها مینماید.
باج افزار پسوند .[victim_id]_luck را به فایل های رمزنگاری شده اضافه نموده و قادر است صدها فایل با پسوندهای متفاوت را قفل نماید ضمن این که از فایل هایی که شامل رشته هایی مانند Windows, Program Files, Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin و کوکی ها میگذرد.
باج افزار از کاربر می خواهد مبلغ ۲٫۱Bitcoin (تقریبا معادل ۱٫۵۰۰ دلار) را ظرف مدت ۷۲ ساعت برای حفظ فایل های رمزنگاری شده اش پرداخت کند.
باج افزار CryptoLuck به وسیله exploit kit به نام RIG-Empire (RIG-E) به سیستم قربانی نفوذ میکند. کلاهبرداران بزرگ از طریق malvertising وب سایت های بزرگسالان مبارزه خود را آغاز می کنند اما خوشبختانه از روش های دیگر آلودگی استفاده می کنند.
باج افزار برای گسترش از فایل RAR SFX شاملcrp.cfg, GoogleUpdate.exe, و فایل های goopdata.dll استفاده میکند که به همراه این دستورالعمل برای استخراج و درج در %AppData%76ff folder در سکوت کامل GoogleUpdate.exe را اجرا می نماید.
مزیت سوء استفاده از GoogleUpdate.exe این است که این برنامه توسط خود گوگل نیز تایید شده است، و نویسنده باج افزار CryptoLuck از فایل مخربی به نام goopdate.dll در بسته خود برای بارگزاری برنامه در حافظه استفاده میکند.
هنگامی که برنامه GoogleUpdate.exe در حال اجراست این برنامه به دنبال فایل های DLL به نام goopdate.dll میگردد و آن ها را اجرا میکند. مشکل اینجاست که باج افزار در همان ابتدا فایلهایی که در پوشه GoogleUpdate.exe موجود است را نگاه خواهد کرد که این امر به نویسنده بدافزار اجازه میدهد فایل goopdate.dll آلوده خود را ایجاد نموده و به وسیله GoogleUpdate آن را اجرا نماید.
مکانیزم پیاده سازی باج افزار CryptoLuck طوری برنامه ریزی شده است که از شر آنالیز شرکتهای امنیتی به دور باشد. این باجگیر می تواند تشخیص دهد که آیا بر روی یک ماشین مجازی در حال اجراست یا خیر که در این نمونه خود را متوقف میکند. در زمان اجرا، این باج افزار تمامی درایوهای نصب شده و یا درایوهای اشتراک گذاشتهشده unmapped را برای رمزنگاری اطلاعات جستجو مینماید.
باج افزار از یک متد رمزنگاری AES-256 و از یک کلید اختصاصی AES برای رمزنگاری هر پوشه استفاده میکند. این کلید در یک کلید عمومیRSA جاسازیشده و کلید نتیجه رمزنگاریAES خود در فایل رمزنگاری شده جاسازیشده است.
هنگامی که باج افزار رمزنگاری فایلها را به اتمام رساند، یک پیام از شامل دستورالعمل پرداخت باج بر روی صفحه نمایش ظاهر خواهد شد.
[ad_2]
لینک منبع