نماد سایت اتاق خبر شبکه گستر

Yatron، باج‌افزار ناقص امروز اما مخرب فردا

به گزارش شرکت مهندسی شبکه گستر، محققان از شناسایی باج‌افزار جدیدی با نام Yatron خبر داده‌اند که در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) به سایر تبهکاران اجاره داده می‌شود.

در خدمات “باج‌افزار به‌عنوان سرویس”، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد.

نکته قابل توجه در این خصوص این باج‌افزار جدید که توسط فردی تحت عنوان A Shadow بر روی Twitter در حال تبلیغ شدن است حذف فایل‌های قربانی در صورت عدم پرداخت مبلغ اخاذی شده ظرف مدت 72 ساعت است. اگر چه به گفته سایت BleepingComputer که جزییات Yatron را منتشر کرده با متوقف کردن پروسه باج‌افزار از طریق ابزارهایی همچون Process Explorer به‌سادگی می‌توان این اقدام آن را ناکام گذاشت.

مکانیزم انتشار Yatron در سطح شبکه، بکارگیری بهره‌جوی EternalBlue و ابزار مخرب DoublePulsar اعلام شده است.

کدهای EternalBlue در اوایل سال 96، توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شد. Shadow Brokers مدعی است که این کدها را از یک گروه نفوذگر حرفه‌ای با نام Equation که وابستگی اثبات شده‌ای به سازمان امنیت ملی آمریکا (NSA) دارد سرقت کرده است. یک ماه پیش از درز این اطلاعات، شرکت مایکروسافت اقدام به عرضه اصلاحیه‌ای با شناسه MS17-010 به‌منظور ترمیم ضعف امنیتی مورد بهره‌جویی EternalBlue نموده بود و بنابراین در صورت نصب بودن اصلاحیه MS17-010، دستگاه، دیگر، در برابر آن آسیب‌پذیر نخواهد بود. علیرغم گذشت دو سال از انتشار اصلاحیه MS17-010 و اطلاع‌رسانی‌های گسترده‌ در خصوص لزوم نصب آن، بدافزارهای مبتنی بر این بهره‌جو همچنان در کشورهای مختلف از جمله ایران قربانی می‌گیرند.

خوشبختانه به‌نظر می‌رسد که کدهای تعبیه شده EternalBlue و DoublePulsar در Yatron دارای نواقصی است که حداقل در نسخه بررسی شده توسط BleepingComputer قابل اجرا نیستند.

کپی فایل مخرب در پوشه‌های پیش‌فرض برنامه‌های موسوم به P2P – نظیر Kazaa،و Ares و eMule – دیگر روش توزیع این باج‌افزار گزارش شده است. ضمن اینکه انتشار از طریق حافظه‌های جداشدنی USB نیز در دستور کار نویسنده آن قرار دارد.

مشروح گزارش سایت BleepingComputer در اینجا قابل دریافت و مطالعه است.

توضیح اینکه نمونه اشاره شده در گزارش BleepingComputer با نام‌های زیر قابل شناسایی می‌باشد.

Bitdefender
   – Gen:Variant.Symmi.42586

McAfee
   – Trojan-Ransom

Sophos
   – Troj/Ransom-FHB

چنین اخباری، یادآور این موضوع مهم است خدمات “باج‌افزار به‌عنوان سرویس” ضمن افزایش سرعت انتشار و فراگیر کردن باج‌‌افزارها تهدیدی جدی بر ضد کاربران و سازمان‌هایی است که اقدامات پیشیگرانه در برابر این نوع بدافزارهای مخرب را اجرا نکرده‌اند.

خروج از نسخه موبایل