از سرگیری فعالیت باج‌افزار ناکارآمد Aurora / Zorro

باج‌افزار Aurora که نخستین نسخه آن در تابستان امسال شناسایی شد پس از مدتی غیبت فعالیتش را از سر گرفته است. نسخه جدید این باج‌افزار که در حال حاضر در حال انتشار است به Zorro معروف شده است.

برخی منابع اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف و اجرای فایل مخرب باج‌افزار را اصلی‌ترین روش انتشار Zorro اعلام کرده‌اند.

خوشبختانه دو محقق امنیتی موفق به کشف راهی برای بازگرداندن فایل‌های رمزگذاری شده توسط این باج‌افزار شده‌اند.

با این حال، بررسی شماره کیف بیت‌کوینی که در اطلاعیه باج‌گیری Zorro درج شده نشان می‌دهد که تا کنون 2.7 بیت‌کوین – معادل 486 میلیون ریال – به این کیف پول منتقل شده است.

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار Aurora / Zorro به‌محض نصب شدن، اقدام به برقراری ارتباط با سرور فرماندهی خود و دریافت کلید رمزگذاری می‌کند. از این کلید در فرایند رمزگذاری فایل‌های قربانی استفاده می‌شود.

باج‌افزار با اتصال به http://www.geoplugin.net/php.gp کشوری که دستگاه قربانی در آن قرار دارد را شناسایی می‌کند. به‌نظر می‌رسد که هدف مهاجمان از این اقدام، جلوگیری از دست‌درازی Aurora / Zorro به دستگاه کاربران روسی است.

در ادامه، باج‌افزار Aurora / Zorro شروع به پویش دستگاه کاربر کرده و فایل‌های با هر یک از پسوندهای زیر را رمزگذاری می‌کند:

1CD, doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, class, jar, java, asp, php, jsp, brd, sch, dch, dip, vbs, ps1, bat, cmd, asm, pas, cpp, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der,

Zorro به فایل‌های رمزگذاری‌شده پسوند aurora را الصاق می‌کند. در نسخه‌های پیشین این باج‌افزار از پسوندهای animus،و desu و ONI نیز استفاده شده بود.

در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمزگذاری شده فایل‌های زیر کپی می‌شود:

  • GET_MY_FILES-!.txt
  • #RECOVERY-PC#.txt
  • @_RESTORE-FILES_@.txt

در فایل‌های مذکور مراحل پرداخت باج شرح داده شده است. همچنین این فایل‌ها حاوی ایمیلی است که قربانی می‌تواند از آن برای برقراری ارتباط با مهاجمان استفاده کند. در نسخه فعلی این ایمیل به‌شرح زیر است:

  • oktropys@protonmail.com

در نهایت باج‌افزار، فایل wall.i را که در حقیقت یک فایل تصویری JPG است در مسیر %UserProfile% ایجاد کرده و تصویر پس‌زمینه دستگاه را به آن تغییر می دهد (تصویر زیر).

همان‌طور که اشاره شد خوشبختانه امکان باز گرداندن فایل‌های رمزگذاری شده توسط این باج‌افزار فراهم است.

توضیح این‌که نسخه جدید با نام‌های زیر قابل شناسایی می‌باشد:

  • Bitdefender:
    Trojan.GenericKD.31364017

 

  • McAfee:
    Artemis!6521474D7DB2

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *