نگاهی به دو باج‌افزار فعال این روزها

شرکت فورتی‌نت (Fortinet) در گزارشی به بررسی و تحلیل دو باج‌‌افزار Sirattacker و ALC پرداخته است. بر اساس گزارش مذکور، به نظر می‌رسد، ایران، در فهرست اصلی‌ترین اهداف گردانندگان باج‌افزار ALC قرار دارد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، چکیده گزارش مذکور ارائه شده است.

باج‌افزار Sirattacker

Sirattacker یکی از جدیدترین نسخه‌های خانواده باج‌افزاری Chaos است. این باج‌افزار نخستین بار در اواسط فوریه 2023 منتشر شد. توزیع‌های مختلفی از Chaos در شبکه‌های زیرزمینی دارک‌وب (Dark Web) قابل دسترس است که امکان ساخت نسخه‌ای از آنها با تنظیمات اختصاصی نیز فراهم است.

به نظر می‌رسد باج‌افزار Sirattacker در ظاهر یک برنامه استخراج رمزارز اتریوم (Ethereum) توزیع و منتشر می‌شود. نماد نمونه‌ای از فایل ناقل این باج‌افزار در زیر نمایش داده شده است.

اجرای باج‌افزار Sirattacker

هنگامی که باج‌افزار Sirattacker اجرا می‌شود، فایل‌های دستگاه قربانی را رمزگذاری کرده و چهار نویسه را به‌صورت تصادفی به‌عنوان پسوند به فایل‌های رمزشده الصاق می‌کند.

نسخ قدیمی‌تر Chaos، فایل‌های بزرگ‌تر از ۲،۱۱۷،۱۵۲ بایت را با بایت‌های تصادفی رونویسی می‌کردند که این امر بازیابی فایل‌ها را غیرممکن می‌کرد. با این حال، در برخی موارد، مهاجمان باج‌افزار Sirattacker با علم به اینکه اکثر فایل‌ها غیرقابل بازیابی هستند، از قربانی درخواست باج می‌کردند. بر اساس بررسی‌های فورتی‌نت، این باگ در نسخ جدید این باج‌افزار برطرف شده است.

اطلاعیه باج‌گیری (Ransom Note) باج‌افزار Sirattacker، فایلی با نام How to Recovery.bat است.

با پایان رمزگذاری فایل‌ها، اطلاعیه باج‌گیری در Command Prompt نمایش داده می‌شود.

تصویر پس‌زمینه (Wallpaper) نیز با تصویر با محتوای مشابه جایگزین می‌شود.

باج‌افزار ALC

ALC باج‌افزار جدیدی است که به نظر می‌رسد چندین کشور، از جمله ایران در فهرست اصلی اهداف آن قرار دارند.

اجرای باج‌افزار ALC

هنگامی که باج‌افزار ALC اجرا می‌شود، چندین فایل همانند تصویر زیر را بر روی دسکتاپ دستگاه قربانی ایجاد می‌کند. هر چند که برخی از نسخ آن، فایل AlcDif.exe نشان داده شده در تصویر زیر را ایجاد نمی‌کنند.

فایل RUS!.txt، نام فایل اطلاعیه باج‌گیری باج‌افزار ALC است که به دلیل اشتباهات املایی و دستوری محتوا می‌توان انتظار داشت توسط فرد یا افرادی غیرانگلیسی‌زبان نوشته شده باشد.

در این اطلاعیه از قربانی خواسته شده که با مهاجم در تلگرام تماس بگیرد؛ با این حال، اطلاعات تماس یا میزان باج مطالبه شده در اطلاعیه باج‌گیری ارائه نشده است.

برخی از نمونه‌های باج‌افزار ALC یک فایل اجرایی به نام AlcDif.exe ایجاد می‌کنند که جهت ایجاد یک اطلاعیه باج‌گیری پیچیده‌تر مورد استفاده قرار می‌گیرد. هنگامی که باج‌افزار فایل AlcDif.exe را اجرا می‌کند، تصویری تمام‌صفحه کل دسکتاپ را می‌پوشاند. محتوای آن نیز سعی در ترساندن قربانیان دارد. اگر قربانی از چندین نمایشگر استفاده کند، تصویر فقط در نمایشگر اصلی نمایش داده می‌شود. این فایل همچنین منجر به قطع و وصل شدن Task Manager می‌شود؛ وقتی فایل برای اولین بار اجرا می‌شود، Task Manager غیرفعال می‌شود. اما اجرای مجدد آن Task Manager را دوباره فعال می‌کند.

نمونه‌ای از تصویر نمایش داده شده توسط AlcDif.exe در زیر قابل مشاهده است:

بر خلاف فایل اطلاعیه باج‌گیری در تصویر مذکور، یک نشانی ایمیل، اطلاعات کیف پول رمزارز مهاجم (Crypto Wallet)، میزان باج مطالبه‌شده و شناسه منحصربه‌فرد اختصاص داده شده به قربانی ارائه شده است. با این حال، کیف پول رمزنگاری ارائه شده وجود ندارد و کد QR آن کار نمی‌کند.

جزئیات بیشتر این دو باج‌افزار به همراه نشانه‌های آلودگی (IoC) آنها در نشانی زیر قابل مطالعه می‌باشد:

https://www.fortinet.com/blog/threat-research/ransomware-roundup-sirattacker-acl