رمزگذاری فایل‌ها یا اجرای استخراج‌کننده؛ تصمیم‌گیرنده: Rakhni!

محققان از کشف نسخه جدیدی از باج‌افزار Rakhni خبر داده‌اند که بسته به تنظیمات و توانایی سخت‌افزاری دستگاه آلوده شده اقدام به رمزگذاری فایل‌های کاربر یا اجرای یک استخراج‌کننده ارز رمز می‌کند.

باج‌افزار Rakhni به زبان برنامه‌نویسی Delphi نوشته شده است.

بر اساس گزارشی که شرکت کسپرسکی آن را منتشر کرده نسخه جدید Rakhni از طریق ایمیل‌های فیشینگ با پیوست فایل Word کاربران را عمدتاً در کشور روسیه هدف قرار می‌دهد.

به گزارش شرکت مهندسی شبکه گستر، فایل پیوست شده، حاوی یک نشان جعلی PDF است که در صورت کلیک کاربر بر روی آن کد مخرب Rakhni به اجرا در می‌آید.

در ادامه، Rakhni اقدام به اجرای یکی از قابلیت‌های زیر می‌کند:

• رمزگذاری – در صورت وجود پوشه‌ای با نام Bitcoin در بخش %AppData%، عملکرد باج‌افزاری Rakhni فعال می‌شود. بخش رمزگذار Rakhni با نام‌های زیر شناسایی می‌شود:

Bitdefender:
   – Gen:Variant.Jacard.33743

McAfee:
   – Artemis!96F460D55982

Sophos:
   – Mal/Generic-S

• استخراج ارز رمز – در صورت عدم وجود پوشه Bitcoin و مجهز بودن دستگاه به حداقل دو پردازشگر، ابزار MinerGate برای استخراج ارز رمز با استفاده از منابع دستگاه اما به نفع نویسندگان Rakhni اجرا می‌شود. این ابزار استخراج‌کننده با نام‌های زیر شناسایی می‌شود:

Bitdefender:
   – Application.Bitcoinminer.HE

McAfee:
   – Artemis!BFF4503FF165

Sophos:
   – MinerGate (PUA)

• انتشار در سطح شبکه – در صورت عدم وجود پوشه Bitcoin و وجود تنها یک پردازشگر، Rakhni تلاش می‌کند تا خود را در سطح شبکه از طریق منابع اشتراکی منتشر کند.

همچنین نسخه جدید مجهز به قابلیتی برای انجام عملیات جاسوسی است که در جریان آن فهرستی از پروسه‌های اجرا شده به همراه تصویری از صفحه نمایش کاربر به سرور فرماندهی مهاجمان ارسال می‌گردد.

Rakhni از جمله باج‌افزارهایی است که توانایی شناسایی بسترهای مجازی و بسترهای موسوم به قرنطینه امن (Sandbox) را دارا می‌باشد.

مشروح گزارش کسپرسکی در اینجا قابل مطالعه است.