توزیع Telsacrypt توسط Nemucod در سراسر دنیا

توزیع Telsacrypt توسط Nemucod در سراسر دنیا

بر اساس گزارش سایت IT Security News برخی بدافزارهای تروجان برنامه توزیع انبوه بدافزارهای دیگر را در چندین کشور پیش‌گرفته‌اند و این مسئله ممکن است چندین روز ادامه داشته باشد و کاربران بدون سیستم‌های محافظت‌شده باید انتظار درصد بالای آلودگی را داشته باشند.

در هفته گذشته دنیا شاهد چنین سناریوهای بود و تروجان بانام Nemucod به‌صورت انبوه در کشورهای خاص و سراسر جهان شناسایی شد. این تروجان در اینترنت سعی بر آپلود کردن بدافزارهای دیگر را به سیستم‌ها دارد.

بر اساس تحلیل‌های اخیر هکرها از روش ایمیل استفاده می‌کنند. در این ایمیل یک فاکتور قلابی ضمیمه و ارسال می‌گردد و سعی می‌گردد که از طریق متن ایمیل کاربر قانع شود تا فایل zip ضمیمه‌شده را باز کند. ارسال‌کننده معمولاً یکی دیگر از کاربران شناخته‌شده توسط کاربر است که ایمیل او قبلاً آلوده‌شده است.

این بدافزار تا زمانی که قربانی برای آلوده شدن پیدا کند کار خود را ادامه می‌دهد.

متن ایمیل ارسالی توسط Nemucod

فایل Zip شده و ضمیمه ایمیل از نمونه‌های تحلیل‌شده اخیر متفاوت است. به‌جای وجود فایل EXE، در داخل Zip یک فایل javascript وجود دارد. این روش احتمالاً جهت عدم شناسایی توسط بعضی از اسکنرهای ایمیل و رسیدن ایمیل‌ها به حداکثر کاربران استفاده‌شده است.

نمونه فایل Zip ضمیمه‌شده

استفاده از Javascript برای دانلود کردن payload
یک فایل Javascript به‌اندازه یک فایل EXE خطرناک است و قابل‌اجرا توسط کاربر می‌باشد. چندین مورد جالب در کد این فایل وجود دارد. اول اینکه بیشتر متغیرهای استفاده‌شده به نظر می‌رسد که از اسامی random استفاده می‌کنند. دو آرایه در کد وجود دارد که برای ابهام و پنهان‌سازی آدرس‌های وب و IP استفاده  می‌شود.

Script بدافزار

دو domain شناسایی شدند که برای توزیع یک نوع یا گونه جدیدی از باج افزار Teslacrypt (با عنوان Win32/Filecoder.EM)، علاوه بر تهدیدهای دیگر استفاده می‌شوند. یکی از این domain‌ها متعلق به یک سایت آلمانی نقض شده است و دیگری به‌عنوان whois info اخیراً ثبت و ساخته‌شده است.

سایت whois info

در داخل این سایت فقط یک هشدار وجود داشت که بیان می‌کرد که این سایت به دلیل اینکه اخیراً به وجود آمده خالی است. نمی‌شود با اطمینان گفت که این سایت صرفاً برای توزیع virus به وجود آمده است اما تاریخ ثبت آن مشکوک به نظر می‌رسد.

 
هشدار سایت whois

آلودگی کاربر توسط Teslacrypt

یکی از بدافزارهایی که از سایت نقض شده یا مخرب دانلود میشود یکی از گونه‌های  Teslacrypt است. این فایل مخرب یک فایل قابل‌اجرا و اسم آن فقط شامل اعداد می‌باشد.

اطلاعات فایل Teslacrypt

اگر قربانی فایل را اجرا کند، باج افزار شروع به رمزگذاری بر فایل هایی میکند که تصاویر، ویدیو، فایل های office و غیره را ذخیره میکنند. پس از اتمام کار پنجره ذیل در مروگر باز میشود. این template به کاربر توضیح میدهد که او باید مبلغ باج را در قبال بازیافت فایل های خود پرداخت نماید .

این Template توسط خانواده های باج افزاری دیگر استفاده می شود.

 
توضیح پرداخت باج Teslacrypt به صورت HTML

یک فایل TXT دیگر نیز در هر پوشه تولید میشود که دارای فایل های رمزگذاری شده است. در این TXT متن مشابه به فایل HTML دیده میشود که دارای تناقض هایی میباشد. برای مثال فایل HTML میگوید که باج افزار از رمزنگاری RSA-2048 استفاده میکند اما در فایل TXT این مورد RSA-4096 میباشد.

 
توضیح پرداخت باج Teslacrypt به صورت TXT

علی رقم الگوریتم رمزنگاری استفاده شده، در اکثر مواقع فایل ها را نمیتوان به حالت اولیه برگرداند و مشتری دسترسی به این اطلاعات را از دست میدهد.

اثرگذاری Nemucod در دنیا

تعداد شناسایی اخیر این بدافزار بسیار بالا بوده است که در مواردی به مقادیر بیش از 10 رسیده است و در برخی از کشورها از این مقدار بالاتر بوده است. در اروپا نسبت های شناسایی بالای 20 بوده است (اسپانیا 23 و ایتالیا 30). در مناطق دیگر سطوح شناسایی پایین تر بوده اما از حد معمول بالا زده است (آرژانتین 14 و آمریکا/کانادا 15).

 
روند دانلود Nemucod در دنیا

بالاترین سطوح آلودگی در ژاپن بوده است. در طول دو روز شناسایی آن رقم مربوط به 75 رسید. تحقیقات برای یافتن دلیل افزایش رقم های شناسایی در ژاپن ادامه دارد.

روند توزیع Nemucod در دنیا

جمع بندی
این بدافزار جدید به اندازه گذشته تعداد کاربران را آلوده نکرد ولی تعداد شناسایی ها نشان میدهد که در برخی از روزها تعداد ارسال ایمیل ها باید بسیار بالا بوده باشد . این یعنی کاربرها از گذشته اقدامات محافظتی بیشتری را پیش گرفته اند و تعداد کمتری فایل ها و ضمیمه های مشکوک را اجرا میکنند.

بهترین توسیه های محافظتی این است که کاربران backup به روز از تمامی فایل های مهم خود نگهداری کنند و در مورد ایمیل های ناشناخته هوشیاری به خرج دهند.

http://itsecuritynews.info/2015/12/16/nemucod-malware-spreads-ransomware-teslacrypt-around-the-world/