نگاهی به باجافزار MedusaLocker
باجافزاری با نام MedusaLocker در حال انتشار است که مهاجمان آن از طریق پودمان Remote Desktop Protocol – به اختصار RDP – یا کارزارهای ایمیل، به شبکه قربانیان نفوذ میکنند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، باجافزار مذکور مورد بررسی قرار گرفته است.
باجافزار MedusaLocker در حملات خود اقدام به رمزگذاری دادههای قربانیان نموده و در هر یک از پوشههای حاوی فایل رمزگذاری شده، یک اطلاعیه باجگیری (Ransom Note) به همراه اطلاعات تماس و دستورالعمل نحوه ارتباط با مهاجمان را در اختیار قربانی قرار میدهد. در این اطلاعیه باجگیری از قربانیان خواسته میشود تا مبلغ باج مطالبه شده را به یک آدرس کیف پول بیت کوین خاص ارسال کنند. به نظر میرسد MedusaLocker یک سرویس اجارهای (Ransomware-as-a-Service – به اختصار RaaS) است که باج پرداخت شده را تقسیم میکند. مدلهای معمولی RaaS شامل توسعهدهنده باجافزار و شرکای مختلف آنها است که باجافزار را در سیستمهای قربانی مستقر میکنند. به نظر می رسد در MedusaLocker باج پرداخت شده همواره بین آنها تقسیم میشود به گونهای که 55 تا 60 درصد باج را شرکا و باقیمانده مبلغ را توسعهدهنده باجافزار دریافت میکند.
جزییات فنی
گردانندگان این باجافزار اغلب از طریق پیکربندیهای آسیبپذیر در پودمان RDP، ایمیلهای فیشینگ و یا کارزارهای ایمیلی به شبکه قربانیان نفوذ پیدا میکنند.
این باجافزار از فایلی از نوع Batch برای اجرای یک اسکریپت مبتنی بر PowerShell ا (invoke-ReflectivePEInjection) استفاده میکند. اسکریپت مذکور، با ویرایش مقدار EnableLinkedConnections در رجیستری دستگاه قربانی، باجافزار را در سراسر شبکه منتشر میکند. سپس از روی دستگاه آلوده، با بکارگیری پودمانهای Internet Control Message Protocol – به اختصار ICMP – و Server Message Block – به اختصار SMB –اقدام به شناسایی سرورها و شبکههای متصل و پوشههای اشتراکی میکند.
در ادامه باجافزار MedusaLocker:
- با راهاندازی مجدد سرویس LanmanWorkstation، امکان ویرایش رجیستری را برای خود فراهم میکند.
- پروسههای برنامههای متداول حسابداری و نرمافزارهای امنیتی را متوقف میکند.
- برای جلوگیری از شناسایی شدن توسط راهکارهای امنیتی، دستگاه را در حالت Safe Mode راهاندازی مجدد میکند.
- فایلهای قربانی را با الگوریتم AES-256 رمزگذاری نموده و سپس کلید حاصل را با یک کلید عمومی RSA-2048 رمزنگاری میکند.
- هر 60 ثانیه مجدداً اجرا شده و همه فایلها را به جز آنهایی که برای عملکرد دستگاه قربانی حیاتی هستند و آنهایی که قبلاً رمزگذاری شده را رمزنگاری میکند.
- با کپی کردن یک فایل اجرایی (exe یا svhostt.exe) در مسیر APPDATA%\Roaming% از طریق فرامین Schedule Task پروسه مخرب باجافزار را هر 15 دقیقه فراخوانی میکند تا بدین ترتیب موجب ماندگاری باجافزار بر روی دستگاه شود.
- نسخههای پشتیبان محلی و نسخههای Shadow را حذف کرده و با غیرفعال کردن گزینههای بازیابی موجب غیرممکن ساختن بازگردانی سیستم میشود.
اطلاعیه باجگیری که باجافزار در هر یک از پوشههای حاوی فایل رمزگذاری شده قرار میدهد، نحوه ارتباط با مهاجمان را تشریح میکند که معمولاً در آن یک یا چند آدرس ایمیل را برای قربانیان ارسال میکند که از طریق آن میتوانند با مهاجمان تماس بگیرند. به نظر میرسد میزان باج مطالبه شده توسط این باجافزار بسته به وضعیت مالی قربانی، متفاوت است.
از جمله پسوندهایی که در جریان این حملات به فایلهای رمزگذاری شده الصاق میشود، میتوان به موارد زیر اشاره کرد:
Encrypted File Extensions: | |||
.1btc | .matlock20 | .marlock02 | .readinstructions |
.bec | .mylock | .jpz.nz | .marlock11 |
.cn | .NET1 | .key1 | .fileslocked |
.datalock | .NZ | .lock | .lockfilesUS |
.deadfilesgr | .tyco | .lockdata7 | .rs |
.faratak | .uslockhh | .lockfiles | .tyco |
.fileslock | .zoomzoom | .perfection | .uslockhh |
.marlock13 | n.exe | .Readinstruction | .marlock08 |
.marlock25 | nt_lock20 | .READINSTRUCTION |
|
.marlock6 | .marlock01 | .ReadInstructions |
|
همچنین اسامی فایلهای مربوط به اطلاعیه باجگیری که این باجافزار از آنها استفاده کرده، عبارتند از:
Ransom Note File Names: | |
how_to_ recover_data.html | how_to_recover_data.html.marlock01 |
instructions.html | READINSTRUCTION.html |
!!!HOW_TO_DECRYPT!!! | How_to_recovery.txt |
readinstructions.html | readme_to_recover_files |
recovery_instructions.html | HOW_TO_RECOVER_DATA.html |
recovery_instruction.html |
|
برخی از نشانیهایی که مهاجمان این باجافزار برای ارسال ایمیل به قربانیان خود از آن استفاده کردهاند، به شرح زیر میباشد:
Email Addresses: | |
willyhill1960@tutanota[.]com | unlockfile@cock[.]li |
zlo@keem[.]ne | unlockmeplease@airmail[.]cc |
zlo@keemail[.]me | unlockmeplease@protonmail[.]com |
zlo@tfwno[.]gf | willyhill1960@protonmail[.]com |
support@ypsotecs[.]com | support@imfoodst[.]com |
traceytevin@protonmail[.]com | support@itwgset[.]com |
unlock_file@aol[.]com | support@novibmaker[.]com |
unlock_file@outlook[.]com | support@securycasts[.]com |
support@exoprints[.]com | rewmiller-1974@protonmail[.]com |
support@exorints[.]com | rpd@keemail[.]me |
support@fanbridges[.]com | soterissylla@wyseil[.]com |
support@faneridges[.]com | support@careersill[.]com |
perfection@bestkoronavirus[.]com | karloskolorado@tutanota[.]com |
pool1256@tutanota[.]com | kevynchaz@protonmail[.]com |
rapid@aaathats3as[.]com | korona@bestkoronavirus[.]com |
rescuer@tutanota[.]com | lockPerfection@gmail[.]com |
ithelp01@decorous[.]cyou | lockperfection@gmail[.]com |
ithelp01@wholeness[.]business | mulierfagus@rdhos[.]com |
ithelp02@decorous[.]cyou | [rescuer]@cock[.]li |
ithelp02@wholness[.]business | 107btc@protonmail[.]com |
ithelpresotre@outlook[.]com | 33btc@protonmail[.]com |
cmd@jitjat[.]org | 777decoder777@protonmail[.]com |
coronaviryz@gmail[.]com | 777decoder777@tfwno[.]gf |
dec_helper@dremno[.]com | andrewmiller-1974@protonmail[.]com |
dec_helper@excic[.]com | angelomartin-1980@protonmail[.]com |
dec_restore@prontonmail[.]com | ballioverus@quocor[.]com |
dec_restore1@outlook[.]com | beacon@jitjat[.]org |
bitcoin@sitesoutheat[.]com | beacon@msgsafe[.]io |
briansalgado@protonmail[.]com | best666decoder@tutanota[.]com |
bugervongir@outlook[.]com | bitcoin@mobtouches[.]com |
best666decoder@protonmail[.]com | encrypt2020@outlook[.]com |
decoder83540@cock[.]li | fast-help@inbox[.]lv |
decra2019@gmail[.]com | fuc_ktheworld1448@outlook[.]com |
diniaminius@winrof[.]com | fucktheworld1448@cock[.]li |
dirhelp@keemail[.]me | gartaganisstuffback@gmail[.]com |
emaila.elaich@iav.ac[.]ma | gavingonzalez@protonmail[.]com |
emd@jitjat[.]org | gsupp@onionmail[.]org |
encrypt2020@cock[.]li | gsupp@techmail[.]info |
best666decoder@protonmail[.]com | helper@atacdi[.]com |
ithelp@decorous[.]cyou | helper@buildingwin[.]com |
ithelp@decorous[.]cyoum | helprestore@outlook[.]com |
ithelp@wholeness[.]business | helptorestore@outlook[.]com |
بعضی از نشانیهای IP مورد استفاده توسط این باجافزار به شرح زیر است با این توضیح که بسیاری از این نشانیهای مذکور چندین سال قدمت دارند و ممکن است در زمان حال دیگر تحت کنترل مهجمان این باجافزار قرار نداشته باشند.
IP Addresses: |
195.123.246.138 |
138.124.186.221 |
159.223.0.9 |
45.146.164.141 |
185.220.101.35 |
185.220.100.249 |
50.80.219.149 |
185.220.101.146 |
185.220.101.252 |
179.60.150.97 |
84.38.189.52 |
94.232.43.63 |
108.11.30.103 |
194.61.55.94 |
198.50.233.202 |
40.92.90.105 |
188.68.216.23 |
87.251.75.71 |
196.240.57.20 |
198.0.198.5 |
194.5.220.122 |
194.5.250.124 |
194.5.220.124 |
104.210.72.161 |
منبع: