نماد سایت اتاق خبر شبکه گستر

موج گسترده حملات باج‌افزار مخرب Bad Rabbit

در ساعات گذشته منابع مختلف از انتشار گسترده باج‌افزار مخرب جدیدی با عنوان Bad Rabbit خبر داده‌اند.

شبکه متروی شهر کی‌اف، فرودگاه اودسا در اوکراین و حداقل سه سایت خبری روسی از جمله قربانیان حملات این باج‌افزار بوده‌اند. هر چند که به نظر می‌رسد تمرکز اصلی این باج‌افزار بر روی کشورهای عضو اتحاد جماهیر شوروی سابق است اما گزارش‌های مختلفی در خصوص انتشار آن در بسیاری از کشورهای دیگر نیز منتشر شده است.

به گزارش شرکت مهندسی شبکه گستر،  به نقل از شرکت Bitdefender، پروسه آلوده‌سازی با یک فایل در ظاهر نصاب Adobe Flash آغاز شده است. شرکت McAfee نیز نشانی زیر را منبع اصلی این آلودگی تا این لحظه اعلام کرده است:

بررسی‌های اولیه نشان می‌دهد که Bad Rabbit با بکارگیری چندین ابزار کد باز از آنها برای رمزگذاری فایل‌های کاربر و انتشار خود در سطح شبکه سازمان استفاده می‌کند.

از جمله این ابزارها، DiskCryptor است که در این باج‌افزار از آن برای نصب یک Bootloader دستکاری شده استفاده شده است. با این ابزار در زمان بالا آمدن دستگاه، کاربر با تصویری مشابه شکل زیر مواجه می‌شود.

همانطور که در تصویر بالا نشان داده شده مبلغ باج اخاذی شده 0.05 بیت‌کوین است. هر چند اطلاعی در خصوص خوش قول بودن گردانندگان این باج‌افزار در دست نیست!

در اطلاعیه باج‌گیری از کاربر خواسته می‌شود که تا پیش از پایان مهلتی که در قالب یک شمارنده معکوس به کاربر نمایش داده می‌شود در شبکه مخفی TOR به نشانی زیر مراجعه کرده و اقدام به پرداخت باج کند:

در غیر اینصورت – بر اساس اطلاعیه مذکور – کاربر مجبور به پرداخت مبلغ باج بیشتری برای بازگرداندن فایل خود خواهد شد.

علاوه بر دست‌درازی به بخش راه‌انداز دستگاه، Bad Rabbit فایل‌های زیر را نیز بر روی دستگاه قربانی رمزگذاری می‌کند:

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf .der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key .mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx .php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff .vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.

این باج‌افزار برخی فرامین مخرب خود – برای مثال نمونه زیر – را در از طریق پروسه CMD اجرا می‌کند:

در فرمان مذکور پارامتر TN rheagal/ به یک کاربر سیستمی با عنوان rhaegal اشاره دارد که فرمانی را برای اجرای زمانبندی شده یکی از فایل‌های باج‌افزار (dispci.exe) ایجاد می‌کند. علاوه بر Rhaegal در فرامین زمانبندی شده (Scheduled Task) از دو نام Viserion و Drogon نیز استفاده شده است. به نظر می‌رسد نویسنده یا نویسندگان این باج افزار از طرفداران سریال بازی تخت و تاج هستند و این نام‌ها را از اسامی سه اژدهای این سریال برگرفته‌اند. ضمن اینکه در بخشی دیگر از کد این باج‌افزار از نام GrayWorm نیز استفاده شده که نام یکی از شخصیت‌های این سریال است.

این باج‌افزار با اجرای فرامینی مشابه فرمان زیر سوابق رویدادهای امنیتی و تغییرات اعمال شده در جدول NTFS را پاک می‌کند:

باج‌افزار Bad Rabbit با بکارگیری ابزار Mimikatz خود را از روی یک دستگاه آلوده شده به دستگاه‌های دیگر سازمان منتقل می‌کند.

شرکت McAfee از وجود فهرستی از رمزهای عبور در یکی از نمونه‌های بررسی شده توسط این شرکت خبر داده است. مشخص است که Bad Rabbit از این اطلاعات برای اجرای حملات موسوم به سعی و خطا (Brute Force)  و رخنه به سایر کامپیوترهای شبکه استفاده می‌کند. فهرست مذکور حاوی کلمات زیر است:

نتایج بررسی‌های انجام شده بر روی کدهای این باج‌افزار حاکی از شباهت بسیاری زیاد آن با باج‌افزار Petya است.

نمونه‌های بررسی شده در این گزارش با نام‌های زیر شناسایی می‌شوند:

McAfee (DAT 8695):

 

Bitdefender:

تحقیقات بیشتر در خصوص این تهدید در حال انجام است و جزئیات تکمیلی به زودی در این اتاق خبر منتشر خواهد شد.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل