نماد سایت اتاق خبر شبکه گستر

گونه جدید باج افزار Nemucod؛ ترکیبی از JavaScript و PHP

باج افزار بسیار خطرناک

Nemucod از جمله باج افزارهایی است که توانسته در عرض مدتی کوتاه خود را از یک بدافزار مخرب بسیار ساده به یک باج افزار نسبتاً پیشرفته تکامل دهد. تکاملی که در نتیجه ابداعات نویسنده یا نویسندگان آن کار شناسایی را برای نرم افزارهای امنیتی نیز مشکل کرده است.

تصویر زیر یکی از نمونه هرزنامه های ناقل این باج افزار را نشان می دهد.

محتوای فایل فشرده شده یک اسکریپ JavaScript است که پسوند آن به doc تغییر داده شده است.

کد JavaScript بشدت مبهم سازی (Obfuscation) شده تا علاوه بر دشوار نمودن تحلیل، احتمال شناسایی شدن توسط نرم افزارهای ضدبدافزار را نیز کاهش دهد.

با توجه به اینکه دستگاه های با سیستم عامل Windows بصورت پیش فرض فاقد PHP هستند، با اجرای فایل JavaScript دو فایل مربوط به یک PHP Interpreter از اینترنت دریافت می شود.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت Webroot، نمونه های اولیه PHP استفاده شده توسط باج افزار Nemucod فاقد هر گونه کد مبهم سازی بودند؛ اما خیلی زود نویسنده یا نویسندگان این باج افزار، از توابعی همچون ()chr برای تبدیل نویسه به کد ASCII آن و ()array به منظور ذخیره اسکریپت PHP در آرایه استفاده کردند که برخی نمونه های آنها در دو شکل زیر نمایش داده شده است.

 

Nemucod فایل های با پسوند زیر را شناسایی و اقدام به رمزنگاری 1024 بایت نخستین آنها می کند:

zip|rar|r00|r01|r02|r03|7z|tar|gz|gzip|arc|arj|bz|bz2|bza|bzip|bzip2|ice|xls|
xlsx|doc|docx|pdf|djvu|fb2|rtf|ppt|pptx|pps|sxi|odm|odt|mpp|ssh|pub|gpg|
pgp|kdb|kdbx|als|aup|cpr|npr|cpp|bas|asm|cs|php|pas|class|py|pl|h|vb|vcproj|
vbproj|java|bak|backup|mdb|accdb|mdf|odb|wdb|csv|tsv|sql|psd|eps|cdr|cpt|
indd|dwg|ai|svg|max|skp|scad|cad|3ds|blend|lwo|lws|mb|slddrw|sldasm|sldprt|
u3d|jpg|jpeg|tiff|tif|raw|avi|mpg|mp4|m4v|mpeg|mpe|wmf|wmv|veg|mov|3gp|flv|
mkv|vob|rm|mp3|wav|asf|wma|m3u|midi|ogg|mid|vdi|vmdk|vhd|dsk|img|iso|

چند توصیه:

خروج از نسخه موبایل