مکانیزم حفاظتی عجیب نویسندگان SamSam

بر اساس گزارشی که شرکت ضدویروس ملوربایتز آن را منتشر کرده اجرای موفقیت‌آمیز نسخه جدید باج‌افزار SamSam مستلزم وارد نمودن رمزعبور صحیح توسط اجرا کننده آن است.

روشی غیرمتعارف برای حفاظت از باج‌افزار که البته خللی در عملکرد آن بر روی دستگاه قربانی ایجاد نمی‌کند.

به گزارش شرکت مهندسی شبکه گستر، هدف از پیاده‌سازی این مکانیزم، جلوگیری از بررسی شدن فایل‌های مخرب باج‌افزار توسط محققان بدافزار در آزمایشگاه‌های امنیتی است.

بر خلاف اغلب باج‌افزارها که معمولا از طریق هرزنامه‌ها و روش‌های مهندسی اجتماعی به دستگاه کاربران راه پیدا می‌کنند، گردانندگان پشت‌پرده SamSam صرفا از آن در مواقع خاص و عمدتا پس از هک کردن شبکه شرکت‌های بزرگ و سازمان‌های دولتی بهره می‌گیرند. بنابراین مکانیزم ورود رمزعبور برای اجرای باج‌افزار، فایل‌های مخرب و کلیدی SamSam را به نوعی در انحصار این افراد نگاه خواهد داشت.

تاکتیک‌های مورد استفاده نویسندگان SamSam هر چند بسیار مشابه حملات سایبری اجرا شده توسط نفوذگران دولتی است اما اکثر کارشناسان آنها را مستقل از هر گونه حکومت یا دولت می‌دانند.

به گفته یکی از محققان، رمزعبور مذکور در حین کامپایل کردن باج‌افزار ایجاد می‌شود و احتمالا رمزعبور در هر کارزار منحصر به همان کارزار خواهد بود.

مشروح گزارش ملوربایتز در لینک زیر قابل دریافت و مطالعه است:

• https://blog.malwarebytes.com/threat-analysis/2018/06/samsam-ransomware-controlled-distribution/

پیش‌تر نیز شرکت امنیتی سوفوس در گزارشی به بررسی باج‌افزار SamSam پرداخته بود که در این خبر به آن اشاره شده است.

توضیح اینکه فایل‌های مخرب نسخه جدید با نام‌های زیر شناسایی می‌شود:

Bitdefender
   – Trojan.BAT.Agent.JO
   – Trojan.GenericKD.30548303
   – Trojan.GenericKD.30367991

McAfee
   – BAT/Ransom-Samsam
   – RDN/Generic.dx
   – Ransomware-GJX!B96620D8A08F

Sophos
   – Troj/RansRun-A
   – Troj/Samas-F
   – Mal/Kryptik-BV