خودنمایی ویروس‌نویس با باج‌افزار Annabelle

در حالی که هدف اصلی اکثر باج‌افزارها اخاذی هر چه بیشتر از قربانیان خود است، برخی ویروس‌نویسان از این نوع بدافزارها برای نمایش مهارت‌های برنامه‌نویسی خود استفاده می‌کنند. یکی از این نمونه‌ها که در روزهای اخیر کاربران را هدف قرار داده باج‌افزار Annabelle است.

کلمه Annabelle برگرفته از مجموعه فیلم‌های ترسناک سینمایی است که در آنها داستان عروسکی با همین نام روایت می‌شود.

به گزارش شرکت مهندسی شبکه گستر، این باج‌افزار انواع خرابکاری‌ها را بر روی دستگاه قربانی انجام می‌دهد. از جمله متوقف کردن برخی از پروسه‌های امنیتی و برنامه‌های رفع اشکال، غیرفعال کردن Windows Defender، خاموش کردن دیواره آتش، انتشار از طریق حافظه‌های USB و صد البته رمزگذاری فایل‌های کاربر و حتی رونویسی بخش MBR دستگاه!

بمحض اجرا شدن Annabelle با اعمال تغییراتی، سبب اجرای خودکار در هر بار راه‌اندازی دستگاه می‌شود.

پس از آن، پروسه برخی از برنامه‌هایی که معمولاً در مواقع رفع اشکال مورد استفاده قرار می‌گیرند از جمله موارد زیر را متوقف می‌کند:

  • Process Hacker
  • Process Explorer
  • MSConfig
  • Task Manager

در ادامه کلیدهایی در مسیر زیر در محضرخانه ایجاد می‌شود:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

عملی که باج‌افزار در این حالت انجام می‌دهد، آن است که کلیدهای متعددی در این مسیر می‌سازد که هر کدام نام یکی از پروسه‌ها را دارد. مثلاً یکی از کلیدها به نام iexplore.exe ساخته می شود که پروسه اصلی مرورگر IE است. در هر کـدام از کلیدهای ایجاد شده هم مدخل‌هایی وجود دارد تا در هنگام فراخوانی سرویسی همنام کلید ایجاد شده، کنترل اجرای آنرا به دست سرویس دیگری بسپارد. این سرویس دیگر، می‌تواند یکی از عملیات باج‌افزار باشد که بگونه‌ای طراحی شده تا اجرای سرویس فراخوان شده را عقیم بگذارد. بنابراین دستگاهی که بدین شکل آلوده شده است، امکان نصب یا اجرای بسیاری از برنامه‌ها را نخواهد داشت.

همجنین این باج‌افزار از طریق روش قدیمی Autorun اقدام به آلوده‌سازی حافظه‌های USB متصل به دستگاه می‌کند تا از این طریق دستگاه‌های دیگری که حافظه به آنها متصل خواهد شد را نیز به خود آلوده کند. هر چند که این روش در نسخه‌های جدید Windows کارآمد نخواهد نبود.

پس اجرای اقدامات مذکور Annabelle فایل‌های کاربر را رمز کرده و به آنها پسوند ANNABELLE را الصاق می‌کند.

در ادامه دستگاه راه‌اندازی مجدد شده و پس از اصالت‌سنجی شدن کاربر، پنجره‌ای مشابه شکل زیر ظاهر می‌شود.

در صفحه نمایش داده شده مذکور دگمه‌ای با عنوان Credits وجود دارد که با کلیک بر روی آن پنجره‌ای دیگر مشابه شکل زیر نمایش داده می‌شود.

در این پنجره روش ارتباطی Discord عنوان شده که نرم‌افزاری برای برقراری ارتباط تلفنی است.

خرابکاری‌های این باج‌افزار به اینجا ختم نشده و در اقدامی دیگر بخش MBR دیسک سخت نیز مشابه باج‌افزارهایی همچون Petya رونویسی می‌شود که در نتیجه آن در زمان بالا آمدن دستگاه تصویر زیر ظاهر می‌شود.

اما جدا از همه این خرابکاری‌ها، به نظر می‌رسد که هدف اصلی نویسنده این باج‌افزار صرفاً نمایش توانایی‌های برنامه‌نویسی خود بوده است. بخصوص آنکه کلید رمزگذاری استفاده شده در تمامی آلودگی‌ها یکسان بوده و فایل‌ها رمز شده توسط این باج‌افزار بدون پرداخت مبلغ اخاذی شده قابل رمزگشایی شدن هستند.

همچنین با اجرای ابزار Rkill در حالت Safe Mode نیز می‌توان خرابکاری‌های اعمال شده بر روی بخش MBR را از کار انداخت.

نمونه بررسی شده در این خبر نیز با نام‌های زیر قابل شناسایی می‌باشد:

McAfee
Artemis!0F743287C991

Bitdefender
Trojan.GenericKD.40139432

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *