تحلیل پروسه آلوده سازی باج افزار Locky

در ماه‌های اخیر باج افرازی به نام Locky به شبکه‌ها و کاربران حمله کرده و سعی بر نقض سیستم‌ها را داشته است. این بدافزار فایل‌های کاربر را رمزگذاری می‌کند و سپس از کاربر درخواست پرداخت باج با ارز bitcoin میکند. لابراتوار تحقیقاتی ESET واقع در آمریکای لاتین روش نفوذ کردن و رمزگذاری بر روی داده های این بدافزار مخرب را مطالعه نموده است و به نتایج ذیل رسیده است.
شکل زیر پروسه آلوده سازی Locky را تا مرحله payload نشان می‌دهد. در مرحله اول کاربر یک ایمیل دریافت می‌کند که موضوع آن چندین مطلب مختلف و به زبان‌های متفاوت است .

این ایمیل دارای.یک ضمیمه سند Microsoft Office (مانند .doc، .docm یا .xls) می‌باشد. این ضمیمه یک فایل BAT میسازد که آن‌یک فایل دیگر با VB Script تولید می‌کند. این دو فایل در مرحله بعد تهدید اصلی را دانلود می‌کنند که.با اسم “Win32/Filecoder.Locky” شناخته‌شده.است.

1- پروسه آلوده سازی Locky
توضیح قدم‌به‌قدم زیر هر یک از اجزا در شکل بالا و طریقه عملکرد مخرب آنان را تا رسیدن به هدف.نهایی شرح می‌دهد. در آخر ما به روش های فعالانه شناسایی و.محافظت از کاربر نگاه خواهیم کرد.
1.    مستندات با macro های مخرب
مستندات ضمیمه‌شده جعلی دارای macro های مخرب می‌باشند که در زمان کلیک.نمودن کاربر روی گزینه “Enable content” اجرا می‌شوند. با فعال شدن macro ها، کد به‌طور خودکار اجرا.می‌شود و آلودگی شروع می‌گردد. شکل 2 این روند را نشان می‌دهد.

2- فعال شدن Macro ها

با انجام یک تحلیل عمیق‌تر از macroها، که باعث اولین بخش آلودگی.می‌شوند می‌توان 3 خط کد خاص که فایل .BAT تشکیل می‌دهند و نام فایل “Ugfdxafff.bat” می‌باشد را مشخص نمود. سپس ما عملکرد Write را می‌بینیم که بر اساس کد رمزنگاری 64 در این فایل هست و در آخر عملکرد Shell که فایل BAT را اجرا می‌کند را شاهد هستیم (تصویر زیر).

BAT, VBS scripts
هدف فایل ” ugfdxafff.bat” به وجود آوردن یک فایل VB script است که در کنار آن فعال می‌باشد و شامل یک URL برای دانلود نمود payload میباشد، که اسم ” asddddd.exe” دارد. درنهایت فایل BAT با استفاده از دستور ” start asddddd.exe” فایل BAT را اجرا می‌کند و VBS را حذف می‌کند تا هیچ ردپایی در سیستم قربانی باقی نماند. تصویر زیر این سکانس عملیات را نشان می‌دهد.

شناسایی فعالانه
در زمان روبرو شدن با باج افزار Locky، می‌توان با داشتن یک‌راه حل امنیتی فعال، آگاهی کردن و آموزش دادن به کاربر می‌توان از حملات جلوگیری نمود. بهترین راه‌حل این است که اجازه ندهیم که این بدافزار در inbox فعال شود و  macro ها را فعال نکنیم. در زمان باز کردن ایمیل‌های اسپم ما به بدافزارها اجازه ورود به سیستم، سرقت داده و به وجود آمدن مشکلات بزرگی را میدهیم.
توصیه میشود که کاربران آموزش ببیند و همگی در مورد روند های جرائم سایبری مطلع تر باشیم. ما باید در درون سازمان یا شرکت خود بهترین روش های امنیتی را به کار بگیریم، برنامه های ضد ویروس و امنیتی به روزرسانی شده و با تنظیمیات مناسب داشته باشیم.

داده‌های تحلیل‌شده

Win32/Filecoder.Locky.A
Md5: dba9a404a71358896100f9a294f7c9a3
VBA/TrojanDownloader.Agent.AUD
Md5: c7d3afbe92d91cd309cce2d61d18f268
BAT/TrojanDownloader.Agent.NHW
Md5: 30f0378659496d15243bc1eb9ba519ef
VBS/TrojanDownloader.Agent.NZN
Md5: 048820a62c0cef4ec6915f47d4302005