باج افزار لاکی

سه کارزار هرزنامه، در حال انتشار باج‌افزار Locky

به گزارش شرکت مهندسی شبکه گستر، مؤسسه Talos از به راه افتادن سه کارزار هرزنامه‌ای خبر داده که همگی آنها اقدام به انتشار گونه جدیدی از باج‌افزار معروف و بسیار مخرب Locky می‌کنند. در این کارزارها، به ایمیل کاربران هرزنامه‌هایی ارسال می‌شود که با اجرای پیوست آنها دستگاه کاربر آلوده به Locky می‌شود.

پیوست هرزنامه‌های نخستین کارزار، حاوی فایلی با پسوند HTA است که وظیفه آن دریافت و اجرای باج افزار مخرب Locky بر روی دستگاه قربانی است. فایل‌های HTA، قابلیت اجرا شدن بر روی مرورگر – فارغ از محدودیت‌های امنیتی لحاظ شده در آن مرورگر – را دارا هستند. در این ایمیل‌ها کاربر تشویق می‌شود که فایل پیوست ایمیل را که در ظاهر یک رسید است باز کند.

عنوان این ایمیل‌ها ###-### Receipt است که در آن # معرف یک عدد است. فایل HTA نیز Receipt #####-######.hta نام دارد که خود در یک فایل فشرده شده با عنوان Receipt ###-###.zip به ایمیل پیوست شده است. با اجرای فایل توسط کاربر باج‌افزار Locky از اینترنت دریافت شده و بر روی دستگاه اجرا می‌شود.

کد HTA نیز مشابه بسیاری از بدافزارهای حرفه‌ای مبهم‌سازی شده است. برای این منظور از متغیرهای متعدد که البته تمامی آنها کلمه PUMPKIN را در خود دارند استفاده شده است. کلمه PUMPKIN به معنای کدو تنبل است که شاید با مراسم هالووین در این ایام بی‌ارتباط نباشد.

ویروس باج افزار

مؤسسه Talos گفته که بیش از 13 هزار ایمیل این کارزار را شناسایی کرده است.

در کارزار دوم، از فایل‌های JavaScript – با پسوند JS – برای انتشار باج‌افزار Locky استفاده می‌شود. عنوان ایمیل‌های این کارزار Complaint letter است. مؤسسه Talos اعلام کرده که تنها در سه ساعت نزدیک به 4 هزار عدد از هرزنامه های این کارزار را مشاهده کرده است. پیوست این ایمیل‌ها فایل فشرده‌ای با عنوان saved_letter_#########.zip است که خود نیز حاوی فایلی با نام saved letter ######.js است.

ایمیل اسپم

در کارزار سوم از دانلودکننده‌های WSF استفاده شده است. تعداد ایمیل‌های شناسایی شده این کارزار مجموعاً 154 گزارش شده که 133 عدد آنها کاربران فرانسوی زبان را هدف قرار داده‌اند. در این ایمیل‌ها اینطور القا می‌شود که ایمیل از سمت یک رسانه فرانسوی به نام Free ارسال شده و حاوی یک فاکتور است.

عنوان سایر ایمیل‌های این کمپین نیز به شرح زیر است:

We could not deliver your parcel, #000990048
Unable to deliver your item, #0000248834
Problem with parcel shipping, ID:00480186

محققان Talos بر این باورند که کارزار سوم فعلاً مرحله آزمایشی خود را طی می‌کند. بخصوص آنکه پیوست برخی از ایمیل‌های آنها نیز خراب بوده و توانایی اجرا شدن را ندارند. پسوند این فایل‌ها doc.wsf. گزارش شده است.

بدافزار منتشر شده توسط این سه کارزار گونه جدیدی از باج افزار قدرتمند Locky است که تغییرات زیر را نسبت به گونه‌های پیشین در خود دارد:

  • نشانی URL اشاره کننده به سرور فرماندهی به linuxsucks.php/ تغییر یافته است.
  • پسوند فایل‌های رمز شده به shit. تغییر داده شده است.
  • همچنین نام فایل حاوی دستورالعمل پرداخت باج به WHAT_is.htm_ تغییر یافته است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *