هشدار بابت باج افزار WannaCrypt
27/02/1396

باج‌افزار WanaCrypt0r


جمعه شب به وقت ایران – 22 اردیبهشت ماه -، منابع متعدد از انتشار گسترده باج‌افزار جدیدی با عنوان WanaCrypt0r خبر دادند. باج‌افزاری که با خاصیت کرم گونه و با بهره‌جویی از یک ضعف امنیتی در بخش SMB سیستم عامل Windows از روی نخستین دستگاه آلوده شده، به‌سرعت خود را در سطح شبکه و اینترنت تکثیر می‌کند.
ماجرای آسیب‌پذیری مورد استفاده WanaCrypt0r به حدود یک ماه قبل و انتشار اسناد محرمانه‌ای باز می‌گردد که در جریان آن فایل‌های سرقت شده از یک گروه نفوذگر حرفه‌ای با نام Equation که وابستگی اثبات شده‌ای به “سازمان امنیت ملی” دولت آمریکا (NSA) دارد توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شدند. در بین این فایل‌ها، بهره‌جو‌هایی به چشم می‌خوردند که از یک ضعف امنیتی روز صفر در بخش سیستم عامل Windows که به EternalBlue موسوم شد سوءاستفاده می‌کردند. یک ماه پیش از درز این اطلاعات شرکت مایکروسافت اقدام به عرضه اصلاحیه‌ای به‌منظور ترمیم آسیبپذیری مذکور نموده بود.
نویسنده یا نویسندگان WanaCrypt0r نیز با استفاده از بهره‌جوی این آسیب‌پذیری باج‌افزار خود را به کرمی بسیار مخرب تبدیل کرده‌اند.
تنها در انگلیس، آلودگی تعداد زیادی از بیمارستان‌های این کشور به این باج افزار سبب تعطیلی برخی از بخش‌های این مراکز درمانی شده است. مرکز اصلی سلامت لندن به نام Barts Health به بیماران توصیه کرده که بیماران به مراکز درمانی دیگری مراجعه کنند. برخی دیگر از مراکز درمانی این کشور نیز مجبور به ترخیص زود هنگام بیماران و محدود کردن خدمات رادیولوژی خود شده‌اند. حتی یکی از بیمارستان‌ها تصمیم گرفته که بخش اورژانس خود را تعطیل کرده و فقط به موارد حیاتی رسیدگی کند.
در زمان نگارش این گزارش بیش از 140 هزار دستگاه در 99 کشور جهان به این باج‌افزار آلوده شده‌اند و انتظار می‌رود شمار این آلودگی‌ها به سرعت افزایش پیدا کند. در ایران نیز، تعداد قابل توجهی از سیستم‌ها به این باج‌افزار مخرب آلوده شده‌اند.
در این گزارش ساختار و عملکرد باج افزار WanaCrypt0r که با نام Ransom-WannaCry نیز شناخته می شود مورد بررسی و تحلیل قرار گرفته است.
 


شکل1 : گستره آلودگی ها به باج افزار


رمزگذاری
در صورت موفقیت WanaCrypt0r در رخنه به دستگاه آسیب پذیر، این باج افزار، یک نصاب مخرب را که یک فایل ZIP محافظت شده با گذرواژه را در خود دارد بر روی آن کپی می کند. در فایل ZIP فایل های مورد نیاز برای اجرای WanaCryptor قرار دارند.


 

شکل2: فایل فشرده شده نصاب WanaCryptor
 


WanaCrypt0r محتوای فایل ZIP را در همان پوشه ای که بر روی آن کپی شده استخراج کرده و چندین فرمان را اجرا می کند. در ابتدا اطلاعیه باج گیری بر اساس زبان تعیین شده بر روی سیستم عامل در پوشه msg کپی می شود. نسخه بررسی شده در این گزارش از28 زبان پشتیبانی می کند.


 

شکل3: زبان های پشتیبانی شده توسط اطلاعیه باج گیری WanaCryptor



سپس WanaCrypt0r نرم افزار TOR Client را از نشانی زیر دریافت کرده و در پوشهای با نام TaskData ذخیره می کند:
 


hxxps://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
 


برای برقراری ارتباط با سرورهای فرماندهی باج افزار به نشانی های زیر استفاده می شود:TOR Client از
 


§ gx7ekbenv2riucmf.onion
§ 57g7spgrzlojinas.onion
§ xxlvbrloxvriy2c5.onion
§ 76jdd2ir2embyv47.onion
§ cwwnhwhlz52maqm7.onion
 


در ادامه برای آماده سازی دستگاه جهت رمزنگاری فایلهای بر روی آن، دستور زیر اجرا می شود:


§ icacls . /grant Everyone:F /T /C /Q
 


این دستور اجازه دسترسی کامل به فایل هایی که در پوشه و زیر پوشه ای که باج افزار در آن اجرا شده است را می دهد.
سپس باج افزار با بهره گیری از فرامین زیر تمامی پروسه های مرتبط با سرورهای پایگاه داده و پست الکترونیکی را متوقف می کند.


§ taskkill.exe /f /im mysqld.exe
§ taskkill.exe /f /im sqlwriter.exe
§ taskkill.exe /f /im sqlserver.exe
§ taskkill.exe /f /im MSExchange*
§ taskkill.exe /f /im Microsoft.Exchange.*
 


هدف از این کار فراهم نمودن امکان رمزگذاری فایلهای مربوط به این سرویس دهندگان است.
همچنین کلیدهای زیر نیز در رجیستری ایجاد می شوند.
 


§HKCUSoftwareMicrosoftWindowsCurrentVersionRun[random]"[Installed_Folder] asks
che.exe"
§ HKCUSoftwareWanaCrypt0rwd [Installed_Folder]
§ HKCUControl PanelDesktopWallpaper "[Installed_Folder]Desktop@WanaDecryptor@.bmp"
 


اکنون WanaCrypt0rآماده اجرای عملیات رمزنگاری فایلهای با هر یک از پسوندهای زیر بر روی دستگاه آلوده شده است:.
 


der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt,
.vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc,
 


الصاق میشود. .WNCRY به پسوند فایلهای رمز شده نویسه های

 

شکل4: نمونه فایلهای رمزگذاری شده توسط WanaCryptor
 


همزمان اطلاعیه باج گیری با نام @Please_Read_Me@.txt و یک نسخه از رمزگشای @WanaDecryptor@.exe در هر پوشه ای که فایل های آن رمزنگاری شده است ایجاد می شود.

 

شکل 5: فایل @Please_Read_Me@
 


WanaDecryptor فرامین زیر را بهمنظور حذف نسخه های Shadow Volume ، غیرفعال نمودن Windows Recovery و حذف سوابق Windows Server Backup اجرا می کند:


C:WindowsSysWOW64cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete
& bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default}
recoveryenabled no & wbadmin delete catalog -quiet


این دستورات به دسترسی Administrator نیاز دارند و قربانیان اعلان UAC را مشابه شکل زیر مشاهده خواهند کرد.

شکل6: پنجره UAC در زمان اجرای فرامین WanaCrypt0r

سپس صفحه WanaCrypt0r نمایش داده میشود. این صفحه شامل اطلاعاتی در خصوص نحوه پرداخت و انتخاب زبان مورد نظر است.

 


WanaCrypt0r 2.0 شکل7: پنجره
 


هنگامی که بر روی گزینه Check Payment کلیک شود، باج افزار به سرورهای TOR C2 مجدد ا متصل شده و پرداخت شدن باج را بررسی می کند. چنانچه پرداخت انجام نشده باشد، پنجرهای مشابه تصویر زیر نمایش داده می شود.

 

شکل8: اعلام پرداخت نشدن باج
 


همچنین پنجره باج افزار WanaCrypt0r شامل بخشی با عنوان Contact Us است که از طریق آن میتوان با صاحبان باج افزار ارتباط برقرار کرد.
باج افزار تصویر پس زمینه Desktop را نیز به تصویر ی مشابه شکل 9 تغییر می دهد.

 


شکل9: تصویر پس زمینه Desktop دستگاه آلوده شده به WanaCrypt0r
 


همچنین بر روی Desktop نیز یک نسخه از فایل @Please_Read_Me@.txt کپی میشود که شامل اطلاعات بیشتر و سوالات متداول و پاسخ آنها می شود.

نمونه بررسی شده در این گزارش توسط ضدبدافزارهای Bitdefender ،McAfee و ESET با نام های زیر قابل شناسایی است:


§ McAfee: Artemis!84C82835A5D2
§ Bitdefender: Trojan.Ransom.WannaCryptor.A
§ ESET: Win32/Filecoder.WannaCryptor.D
 


 

فایل pdf: امنیت در برابر باچ افزارها

منبع خبر: مرکز فناوری اطلاعات و ارتباطات

ثبت نام ها
مطالب مرتبط
دریافت اطلاعات
دستاورد ها
دفترچه دروس سرفصل ها