نماد سایت اتاق خبر شبکه گستر

باز هم ظهور نسخه‌ای جدید از Locky

Locky از جمله معروف‌ترین باج‌افزارهایی است که در سال‌های اخیر بخش قابل توجهی از آلودگی‌ها به این نوع بدافزارهای مخرب را به خود اختصاص داده است.

از زمان پیدایش باج‌افزار Locky در بهمن ماه 1394، نویسندگان آن بارها و بارها نسخه‌های جدیدی از آن را با قابلیت‌هایی جدید و توانایی‌های پیشرفته‌تر منتشر کردند. قابلیت‌هایی که در اکثر مواقع این بدافزار را قادر به عبور از سد ضدویروس‌های سنتی کرده‌اند.

یکی از اصلی‌ترین عوامل که سبب شهرت و معروفیت این باج‌افزار گردید موفقیت آن در رخنه به چندین بیمارستان و مرکز درمانی بوده است.

برای مثال در اواخر سال 1394، در حالی که سیستم‌های کامپیوتری بیمارستان Hollywood Presbyterian برای مدت 10 روز توسط Locky فلج شده بودند و تلاش های متخصصان امنیت فناوری اطلاعات در رمزگشایی فایل‌ها ناکام مانده بود، مسئولان این بیمارستان اقدام به پرداخت باجی 17 هزار دلاری به گردانندگان این باج‌افزار برای بازگرداندن روند امور به حالت اولیه نمودند.

در روزهای اخیر نیز، گردانندگان باج‌افزار مخرب Locky اقدام به عرضه نسخه جدیدی از آن کرده‌اند.

به گزارش شرکت مهندسی شبکه گستر، روش انتشار نسخه جدید، ایمیل‌هایی با پیوست ZIP است.

فایل پیوست شده خود حاوی یک اسکریپت VBS است که در صورت اجرا شدن توسط کاربر، با سرور فرماندهی (C2) تماس برقرار کرده و فایل اجرایی باج‌افزار را به همراه فرامین مخرب از آن دریافت می‌کند.

در صورتی که به هر دلیل، برقراری ارتباط با سرور مذکور فراهم نشود اسکریپت برای اتصال به نشانی دوم درج شده در کد تلاش می‌کند.

یکی از نکات قابل توجه در نسخه جدید، استفاده از پارامترها و کلماتی همچون Enterprise و Microsoft در زمان برقراری ارتباط با سرور فرماندهی است؛ موضوعی که هدف آن کاهش احتمال مشکوک شدن مدیران شبکه به غیرمجاز بودن ارتباط برقرار شده است.

در نسخه جدید، فایل باج‌افزار پس از دریافت شدن از سرور فرماندهی در مسیر AppData%\Local\Temp% ذخیره شده و سپس اجرا می‌شود.

این نسخه از Locky فایل‌های با هر یک از پسوندهای زیر را رمزگذاری کرده و به آنها پسوند Diablo6 را الصاق می‌کند:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .backup, .backupdb, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt.

در نهایت اطلاعیه باج‌گیری نمایش داده می‌شود.

نمونه های بررسی شده در این خبر با نام های زیر شناسایی می شوند:

McAfee:
  – VBS/Downloader.ga
  – Suspicious ZIP!vbs
  – RDN/Generic.grp

Bitdefender:
  – Trojan.VBS.VBD
  – Trojan.GenericKD.5795255

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل