توزیع Telsacrypt توسط Nemucod در سراسر دنیا
توزیع Telsacrypt توسط Nemucod در سراسر دنیا
بر اساس گزارش سایت IT Security News برخی بدافزارهای تروجان برنامه توزیع انبوه بدافزارهای دیگر را در چندین کشور پیشگرفتهاند و این مسئله ممکن است چندین روز ادامه داشته باشد و کاربران بدون سیستمهای محافظتشده باید انتظار درصد بالای آلودگی را داشته باشند.
در هفته گذشته دنیا شاهد چنین سناریوهای بود و تروجان بانام Nemucod بهصورت انبوه در کشورهای خاص و سراسر جهان شناسایی شد. این تروجان در اینترنت سعی بر آپلود کردن بدافزارهای دیگر را به سیستمها دارد.
بر اساس تحلیلهای اخیر هکرها از روش ایمیل استفاده میکنند. در این ایمیل یک فاکتور قلابی ضمیمه و ارسال میگردد و سعی میگردد که از طریق متن ایمیل کاربر قانع شود تا فایل zip ضمیمهشده را باز کند. ارسالکننده معمولاً یکی دیگر از کاربران شناختهشده توسط کاربر است که ایمیل او قبلاً آلودهشده است.
این بدافزار تا زمانی که قربانی برای آلوده شدن پیدا کند کار خود را ادامه میدهد.
متن ایمیل ارسالی توسط Nemucod
فایل Zip شده و ضمیمه ایمیل از نمونههای تحلیلشده اخیر متفاوت است. بهجای وجود فایل EXE، در داخل Zip یک فایل javascript وجود دارد. این روش احتمالاً جهت عدم شناسایی توسط بعضی از اسکنرهای ایمیل و رسیدن ایمیلها به حداکثر کاربران استفادهشده است.
نمونه فایل Zip ضمیمهشده
استفاده از Javascript برای دانلود کردن payload
یک فایل Javascript بهاندازه یک فایل EXE خطرناک است و قابلاجرا توسط کاربر میباشد. چندین مورد جالب در کد این فایل وجود دارد. اول اینکه بیشتر متغیرهای استفادهشده به نظر میرسد که از اسامی random استفاده میکنند. دو آرایه در کد وجود دارد که برای ابهام و پنهانسازی آدرسهای وب و IP استفاده میشود.
Script بدافزار
دو domain شناسایی شدند که برای توزیع یک نوع یا گونه جدیدی از باج افزار Teslacrypt (با عنوان Win32/Filecoder.EM)، علاوه بر تهدیدهای دیگر استفاده میشوند. یکی از این domainها متعلق به یک سایت آلمانی نقض شده است و دیگری بهعنوان whois info اخیراً ثبت و ساختهشده است.
سایت whois info
در داخل این سایت فقط یک هشدار وجود داشت که بیان میکرد که این سایت به دلیل اینکه اخیراً به وجود آمده خالی است. نمیشود با اطمینان گفت که این سایت صرفاً برای توزیع virus به وجود آمده است اما تاریخ ثبت آن مشکوک به نظر میرسد.
هشدار سایت whois
آلودگی کاربر توسط Teslacrypt
یکی از بدافزارهایی که از سایت نقض شده یا مخرب دانلود میشود یکی از گونههای Teslacrypt است. این فایل مخرب یک فایل قابلاجرا و اسم آن فقط شامل اعداد میباشد.
اطلاعات فایل Teslacrypt
اگر قربانی فایل را اجرا کند، باج افزار شروع به رمزگذاری بر فایل هایی میکند که تصاویر، ویدیو، فایل های office و غیره را ذخیره میکنند. پس از اتمام کار پنجره ذیل در مروگر باز میشود. این template به کاربر توضیح میدهد که او باید مبلغ باج را در قبال بازیافت فایل های خود پرداخت نماید .
این Template توسط خانواده های باج افزاری دیگر استفاده می شود.
توضیح پرداخت باج Teslacrypt به صورت HTML
یک فایل TXT دیگر نیز در هر پوشه تولید میشود که دارای فایل های رمزگذاری شده است. در این TXT متن مشابه به فایل HTML دیده میشود که دارای تناقض هایی میباشد. برای مثال فایل HTML میگوید که باج افزار از رمزنگاری RSA-2048 استفاده میکند اما در فایل TXT این مورد RSA-4096 میباشد.
توضیح پرداخت باج Teslacrypt به صورت TXT
علی رقم الگوریتم رمزنگاری استفاده شده، در اکثر مواقع فایل ها را نمیتوان به حالت اولیه برگرداند و مشتری دسترسی به این اطلاعات را از دست میدهد.
اثرگذاری Nemucod در دنیا
تعداد شناسایی اخیر این بدافزار بسیار بالا بوده است که در مواردی به مقادیر بیش از 10 رسیده است و در برخی از کشورها از این مقدار بالاتر بوده است. در اروپا نسبت های شناسایی بالای 20 بوده است (اسپانیا 23 و ایتالیا 30). در مناطق دیگر سطوح شناسایی پایین تر بوده اما از حد معمول بالا زده است (آرژانتین 14 و آمریکا/کانادا 15).
روند دانلود Nemucod در دنیا
بالاترین سطوح آلودگی در ژاپن بوده است. در طول دو روز شناسایی آن رقم مربوط به 75 رسید. تحقیقات برای یافتن دلیل افزایش رقم های شناسایی در ژاپن ادامه دارد.
روند توزیع Nemucod در دنیا
جمع بندی
این بدافزار جدید به اندازه گذشته تعداد کاربران را آلوده نکرد ولی تعداد شناسایی ها نشان میدهد که در برخی از روزها تعداد ارسال ایمیل ها باید بسیار بالا بوده باشد . این یعنی کاربرها از گذشته اقدامات محافظتی بیشتری را پیش گرفته اند و تعداد کمتری فایل ها و ضمیمه های مشکوک را اجرا میکنند.
بهترین توسیه های محافظتی این است که کاربران backup به روز از تمامی فایل های مهم خود نگهداری کنند و در مورد ایمیل های ناشناخته هوشیاری به خرج دهند.
http://itsecuritynews.info/2015/12/16/nemucod-malware-spreads-ransomware-teslacrypt-around-the-world/