Spora: باج‌افزاری با ویژگی‌های خاص

به گزارش شرکت مهندسی شبکه گستر، شرکت Emsisoft، از انتشار باج‌افزاری با نام Spora خبر داده که خدمات خود را در قالب بسته‌های “بازگردانی کامل”، “مصونیت در برابر حملات آتی باج‌افزار”، “حذف باج‌افزار” و “بازگردانی فقط فایل” به قربانیان خود ارائه می‌دهد!

سایت باج افزار Spora

جالب اینکه سایت این باج‌افزار که پس از پایان رمزگذاری فایل‌ها، قربانی به آن هدایت می‌شود مجهز به بخشی برای گفتگوی زنده قربانیان با تبهکاران صاحب Spora است!

علاوه بر اخاذی با بسته‌های ابتکاری قابل انتخاب، Spora ویژگی‌های منحصربه‌فرد فراوانی را در خود دارد.

نحوه انتشار

این باج‌افزار از طریق هرزنامه‌های در ظاهر صورتحساب منتشر می‌شود. پسوند فایل پیوست شده در نسخه‌های فعلی این هرزنامه‌ها HTA اعلام شده است. اما گردانندگان آن کوشیده‌اند با درج PDF در انتهای نام فایل، این‌طور القا کنند که پسوند فایل PDF است. 

فایل‌های HTA – یا HTML Application -، قابلیت اجرا شدن بر روی مرورگر – فارغ از محدودیت‌های امنیتی لحاظ شده در آن مرورگر – را دارا هستند. ضمن اینکه هر دو زبان اسکریپت نویسی VBScript و JScript در این فایل‌ها قابل پیاده‌سازی است و Spora نیز هر دوی این زبان‌ها استفاده کرده است.

با اجرای فایل HTA، فایل جدیدی با نام close.js در مسیر %TEMP% ایجاد می‌شود. در ادامه یک فایل JScript بر روی دستگاه اجرا می‌شود.

کد باج افزار

برای دشوار نمودن تحلیل، فایل JScript رمزگذاری و توسط یک الگوریتم سفارشی و توابع CryptJS مبهم‌سازی (Obfuscation) شده است.

اسکریپت مخرب دو فایل doc_6d518e.docx و 81063163ded.exe را در مسیر %TEMP% بر روی سیستم کپی کرده و سپس آنها را اجرا می‌کند.

فایل نخست فایلی از نوع سند (Document) بوده که حاوی داده‌های نادرست است و درنتیجه آن در هنگام باز شدن خطایی به کاربر نمایش داده می‌شود.

فایل پیوست باج افزار

به نظر می‌رسد که این کار به‌صورت عمدی انجام شده تا به کاربر این طور تلقین شود که فایل در هنگام انتقال خراب شده است. ضمن نمایش پیام خطا، توجه کاربر را کمتر به سمت فایل مخرب HTA جلب می‌کند. فایل دوم – در این نسخه 81063163ded.exe – در حقیقت باج‌افزار اصلی است که وظیفه رمزگذاری را برعهده دارد.

ایجاد کلید و رمزنگاری

به گزارش شرکت مهندسی شبکه گستر، متداولترین نوع رمزنگاری مبتنی بر کلید، رمزنگاری متقارن است. به این نوع رمزنگاری، کلید خصوصی، سنتی، رمز مشترک و کلید رمز نیز گفته می‌شود. در این نوع رمزنگاری، فرآیند رمزگذاری و رمزگشایی با کلیدی یکسان یا بسیار مشابه انجام می‌شود. AES یکی معروف‌ترین الگوریتم‌های رمزنگاری متقارن است.

اما در رمزنگاری نامتقارن که از آن با نام رمزنگاری کلید عمومی نیز یاد می‌شود، از دو کلید متفاوت در فرآیند رمزنگاری استفاده می‌شود؛ یک کلید برای رمزنگاری – موسوم به کلید عمومی – و کلیدی دیگر برای رمزگشایی – موسوم به کلید اختصاصی-. RSA نمونه‌ای از الگوریتم‌های مبتنی بر رمزگذاری نامتقارن است.

Spora از ترکیب الگوریتم‌های RSA و AES به‌منظور رمزگذاری داده‌های کاربر استفاده می‌کند. همچنین برای بهبود فرآیند رمزنگاری، بستر Microsoft CryptoAPI را نیز بکار می‌گیرد.

این باج‌افزار ابتدا کلید عمومی RSA را که توسط AES رمز شده و در کد بدافزار ذخیره گردیده است شناسایی می‌کند. با یافتن کلید، باج‌افزار یک کلید جفت 1024 بیتی جدید را ایجاد می‌کند که حاوی هر دو کلید عمومی و خصوصی است. ضمن اینکه یک کلید 256 بیتی AES نیز برای رمزگذاری کلید جفت شده RSA ایجاد می‌کند. با رمزگذاری آن، کلید AES نیز خود با کلید عمومی رمز می‌شود. در نهایت، اطلاعات مرتبط با کلید به همراه توضیحاتی بر روی فایل KEY. ذخیره می‌شود.

برای رمزگذاری فایل‌های کاربر بر روی سیستم، Spora ابتدا یک کلید 256 بیت AES را به ازای هر فایل ایجاد می‌کند. این کلید 5 مگابایت ابتدایی فایل را رمزگذاری کرده و پس از آن کلید را با جفت کلیدهای RSA رمزگذاری و به انتهای فایل الصاق می‌کند.

در نگاه اول، این روال پیچیده به نظر می‌رسد اما نویسنده یا نویسندگان باج‌افزار را قادر به اجرای عملیات بدون نیاز به سرور فرماندهی (Command and Control) برای تبادل کلید می‌کند. این بدان معناست که Spora می‌تواند بدون نیاز به اینترنت نیز کار رمزگذاری را انجام دهد. ضمن اینکه از کلید عمومی نیز به‌صورت مستقیم استفاده نشده است.

به گفته محققان Emsisoft بدون در اختیار داشتن کلید خصوصی امکان رمزگشایی فایل‌های رمز شده توسط Spora ممکن نخواهد بود.

ویژگی‌های خاص

همانطور که اشاره شد اطلاعات ذخیره شده در فایل KEY. تنها حاوی کلید خصوصی RSA قربانی نیست. از جمله این اطلاعات تاریخ آلوده شدن، نام کاربری قربانی و محل سیستم آلوده شده است.

یکی دیگر از این اطلاعات، شناسه‌ای است که در کد تزریق شده و در همه نمونه‌های آلوده شده توسط هر نسخه Spora یکسان است. به‌نظر می‌رسد که این شناسه معرف کارزار (Campaign) انتشاردهنده باج‌افزار بوده و جهت اختصاص سهم هر کارزار مورد استفاده قرار می‌گیرد. به بیان دیگر این باج‌افزار نیز ممکن است به‌صورت باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service) ارائه شود و یا شاید در حال حاضر نیز در حال انجام باشد.

یکی دیگر از اطلاعات ذخیره شده در فایل KEY. مربوط به میزان اهمیت و تعداد فایل‌های با پسوندهای خاصی است که بر روی دستگاه قربانی ذخیره شده است.

کد Ransomware
Spora با بررسی میزان اهمیت و تعداد فایل‌های با پسوندهای خاص بر روی دستگاه قربانی مبلغ اخاذی شده از کاربر را به‌صورت خودکار تعیین می‌کند که این خود نیز یکی دیگر از ویژگی‌های قابل توجه این باج افزار است.

شایان ذکر است بر خلاف اکثر باج‌افزارها، Spora نام و پسوند فایل‌های رمز شده را تغییر نمی‌دهد؛ یکی دیگر از خصوصیات خاص Spora.

برای ایمن ماندن از گزند باج‌افزارها، مطالعه این راهنما توصیه می‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *