نگاهی به باج‌افزار MedusaLocker

باج‌افزاری با نام MedusaLocker در حال انتشار است که مهاجمان آن از طریق پودمان Remote Desktop Protocol – به اختصار RDP – یا کارزارهای ایمیل، به شبکه قربانیان نفوذ می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، باج‌افزار مذکور مورد بررسی قرار گرفته است.

باج‌افزار MedusaLocker در حملات خود اقدام به رمزگذاری داده‌های قربانیان نموده و در هر یک از پوشه‌های حاوی فایل رمزگذاری شده، یک اطلاعیه باج‌گیری (Ransom Note) به همراه اطلاعات تماس و دستورالعمل نحوه ارتباط با مهاجمان را در اختیار قربانی قرار می‌دهد. در این اطلاعیه باج‌گیری از قربانیان خواسته می‌شود تا مبلغ باج مطالبه شده را به یک آدرس کیف پول بیت کوین خاص ارسال کنند. به نظر می‌رسد MedusaLocker یک سرویس اجاره‌ای (Ransomware-as-a-Service – به اختصار RaaS) است که باج پرداخت شده را تقسیم می‌کند. مدل‌های معمولی RaaS شامل توسعه‌دهنده باج‌افزار و شرکای مختلف آنها است که باج‌افزار را در سیستم‌های قربانی مستقر می‌کنند. به نظر می رسد در MedusaLocker باج پرداخت شده همواره بین آنها تقسیم می‌شود به گونه‌ای که 55 تا 60 درصد باج را شرکا و باقی‌مانده مبلغ را توسعه‌دهنده باج‌افزار دریافت می‌کند.

جزییات فنی

گردانندگان این باج‌افزار اغلب از طریق پیکربندی‌های آسیب‌پذیر در پودمان RDP، ایمیل‌های فیشینگ و یا کارزارهای ایمیلی به شبکه قربانیان نفوذ پیدا می‌کنند.

این باج‌افزار از فایلی از نوع Batch برای اجرای یک اسکریپت مبتنی بر PowerShell ا (invoke-ReflectivePEInjection) استفاده می‌کند. اسکریپت مذکور، با ویرایش مقدار EnableLinkedConnections در رجیستری دستگاه قربانی، باج‌افزار را در سراسر شبکه منتشر می‌کند. سپس از روی دستگاه آلوده، با بکارگیری پودمان‌های Internet Control Message Protocol – به اختصار ICMP – و Server Message Block – به اختصار SMB –اقدام به شناسایی سرورها و شبکه‌های متصل و پوشه‌های اشتراکی می‌کند.

در ادامه باج‌افزار MedusaLocker:

  • با راه‌اندازی مجدد سرویس LanmanWorkstation، امکان ویرایش رجیستری را برای خود فراهم می‌کند.
  • پروسه‌های برنامه‌های متداول حسابداری و نرم‌افزارهای امنیتی را متوقف می‌کند.
  • برای جلوگیری از شناسایی شدن توسط راهکارهای امنیتی، دستگاه را در حالت Safe Mode راه‌اندازی مجدد می‌کند.
  • فایل‌های قربانی را با الگوریتم AES-256 رمزگذاری نموده و سپس کلید حاصل را با یک کلید عمومی RSA-2048 رمزنگاری می‌‌کند.
  • هر 60 ثانیه مجدداً اجرا شده و همه فایل‌ها را به جز آنهایی که برای عملکرد دستگاه قربانی حیاتی هستند و آنهایی که قبلاً رمزگذاری شده را رمزنگاری می‌کند.
  • با کپی کردن یک فایل اجرایی (exe یا svhostt.exe) در مسیر APPDATA%\Roaming% از طریق فرامین Schedule Task پروسه مخرب باج‌افزار را هر 15 دقیقه فراخوانی می‌کند تا بدین ترتیب موجب ماندگاری باج‌افزار بر روی دستگاه ‌شود.
  • نسخه‌های پشتیبان‌ محلی و نسخه‌های Shadow را حذف کرده و با غیرفعال کردن گزینه‌های بازیابی موجب غیرممکن ساختن بازگردانی سیستم می‌شود.

اطلاعیه باج‌گیری که باج‌افزار در هر یک از پوشه‌های حاوی فایل رمزگذاری شده قرار می‌دهد، نحوه ارتباط با مهاجمان را تشریح می‌کند که معمولاً در آن یک یا چند آدرس ایمیل را برای قربانیان ارسال می‌کند که از طریق آن می‌توانند با مهاجمان تماس بگیرند. به نظر می‌رسد میزان باج‌ مطالبه شده توسط این باج‌افزار بسته به وضعیت مالی قربانی، متفاوت است.

از جمله پسوندهایی که در جریان این حملات به فایل‌های رمزگذاری شده الصاق می‌شود، می‌توان به موارد زیر اشاره کرد:

Encrypted File Extensions:

.1btc

.matlock20

.marlock02

.readinstructions

.bec

.mylock

.jpz.nz

.marlock11

.cn

.NET1

.key1

.fileslocked

.datalock

.NZ

.lock

.lockfilesUS

.deadfilesgr

.tyco

.lockdata7

.rs

.faratak

.uslockhh

.lockfiles

.tyco

.fileslock

.zoomzoom

.perfection

.uslockhh

.marlock13

n.exe

.Readinstruction

.marlock08

.marlock25

nt_lock20

.READINSTRUCTION

 

.marlock6

.marlock01

.ReadInstructions

 

 

همچنین اسامی فایل‌های مربوط به اطلاعیه باج‌گیری که این باج‌افزار از آنها استفاده کرده، عبارتند از:

Ransom Note File Names:

how_to_ recover_data.html 

how_to_recover_data.html.marlock01

instructions.html 

READINSTRUCTION.html 

!!!HOW_TO_DECRYPT!!!

How_to_recovery.txt

readinstructions.html 

readme_to_recover_files

recovery_instructions.html 

HOW_TO_RECOVER_DATA.html

recovery_instruction.html

 

 

برخی از نشانی‌هایی که مهاجمان این باج‌افزار برای ارسال ایمیل به قربانیان خود از آن استفاده کرده‌اند، به شرح زیر می‌باشد:

Email Addresses:

willyhill1960@tutanota[.]com 

unlockfile@cock[.]li

zlo@keem[.]ne 

unlockmeplease@airmail[.]cc 

zlo@keemail[.]me 

unlockmeplease@protonmail[.]com 

zlo@tfwno[.]gf 

willyhill1960@protonmail[.]com 

support@ypsotecs[.]com

support@imfoodst[.]com 

traceytevin@protonmail[.]com 

support@itwgset[.]com

unlock_file@aol[.]com 

support@novibmaker[.]com

unlock_file@outlook[.]com 

support@securycasts[.]com 

support@exoprints[.]com

rewmiller-1974@protonmail[.]com

support@exorints[.]com 

rpd@keemail[.]me

support@fanbridges[.]com 

soterissylla@wyseil[.]com 

support@faneridges[.]com

support@careersill[.]com 

perfection@bestkoronavirus[.]com 

karloskolorado@tutanota[.]com

pool1256@tutanota[.]com 

kevynchaz@protonmail[.]com 

rapid@aaathats3as[.]com

korona@bestkoronavirus[.]com

rescuer@tutanota[.]com

lockPerfection@gmail[.]com

ithelp01@decorous[.]cyou

lockperfection@gmail[.]com 

ithelp01@wholeness[.]business

mulierfagus@rdhos[.]com

ithelp02@decorous[.]cyou

[rescuer]@cock[.]li 

ithelp02@wholness[.]business

107btc@protonmail[.]com 

ithelpresotre@outlook[.]com

33btc@protonmail[.]com 

cmd@jitjat[.]org 

777decoder777@protonmail[.]com

coronaviryz@gmail[.]com

777decoder777@tfwno[.]gf

dec_helper@dremno[.]com

andrewmiller-1974@protonmail[.]com

dec_helper@excic[.]com 

angelomartin-1980@protonmail[.]com

dec_restore@prontonmail[.]com 

ballioverus@quocor[.]com

dec_restore1@outlook[.]com

beacon@jitjat[.]org

bitcoin@sitesoutheat[.]com 

beacon@msgsafe[.]io

briansalgado@protonmail[.]com

best666decoder@tutanota[.]com 

bugervongir@outlook[.]com

bitcoin@mobtouches[.]com 

best666decoder@protonmail[.]com 

encrypt2020@outlook[.]com 

decoder83540@cock[.]li

fast-help@inbox[.]lv

decra2019@gmail[.]com 

fuc_ktheworld1448@outlook[.]com

diniaminius@winrof[.]com 

fucktheworld1448@cock[.]li

dirhelp@keemail[.]me 

gartaganisstuffback@gmail[.]com 

emaila.elaich@iav.ac[.]ma

gavingonzalez@protonmail[.]com

emd@jitjat[.]org

gsupp@onionmail[.]org

encrypt2020@cock[.]li 

gsupp@techmail[.]info

best666decoder@protonmail[.]com 

helper@atacdi[.]com 

ithelp@decorous[.]cyou

helper@buildingwin[.]com 

ithelp@decorous[.]cyoum

helprestore@outlook[.]com

ithelp@wholeness[.]business

helptorestore@outlook[.]com

 

 

بعضی از نشانی‌های IP مورد استفاده توسط این باج‌افزار به شرح زیر است با این توضیح که بسیاری از این نشانی‌های مذکور چندین سال قدمت دارند و ممکن است در زمان حال دیگر تحت کنترل مهجمان این باج‌افزار قرار نداشته ‌باشند.

IP Addresses:

195.123.246.138

138.124.186.221

159.223.0.9

45.146.164.141

185.220.101.35

185.220.100.249

50.80.219.149

185.220.101.146

185.220.101.252

179.60.150.97

84.38.189.52

94.232.43.63

108.11.30.103

194.61.55.94

198.50.233.202

40.92.90.105

188.68.216.23

87.251.75.71

196.240.57.20

198.0.198.5

194.5.220.122

194.5.250.124

194.5.220.124

104.210.72.161

 

منبع:

https://www.cisa.gov/uscert/ncas/alerts/aa22-181a

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *