۰۶ تير ۱۳۹۵ - ۱۱:۴۵
کد خبر: ۲۲۲۰۳
باج‌افزار RAA کاملاً براساس جاوا اسکریپت نوشته‌شده است.
مشاهده کرده‌ایم که امسال باج‌افزارها به اشکال زیادی ظاهرشده‌اند؛ اما محققان این هفته ادعا کرده‌اند که  یک‌رشته‌ی جدید از باج‌افزار را یافته‌اند که برخلاف گذشته کاملاً براساس جاوا اسکریپت نوشته‌شده است.  
 
این باج‌افزار که به شکل RAA نام‌گذاری شده است، به گفته‌ لورنس آبرامس به‌وسیله‌ ضمیمه‌هایی که خود را به‌عنوان پرونده‎های doc. ورد معرفی می‌کنند منتشر می‌شود. آبرامس اواخر شب دوشنبه در وب‌گاه خود BleepingCopmuter.com‌ در مورد این بدافزار مطالبی را نوشته است.  
 
 باج‌افزار RAA که در ابتدا به‌وسیله‌ی دو محقق با شناسه‌های JAMES_MHT@   و  benkow_@ کشف شد، پرونده‎ها را با استفاده از کدهای CryptoJS رمزنگاری می‌کند. کتابخانه CryptoJS کتابخانه‌ای است که به‌راحتی قابل‌استفاده است و می‌تواند الگوریتم‌هایی نظیر AES،DES و نظایر آن را مدیریت کند. در این مورد، باج‌افزار RAA دستگاه‌های قربانی‌ها را بررسی می‌کند و پرونده‎های انتخاب‌شده را با الگوریتم AES-256 رمزنگاری می‌کند.  
 
به‌محض اینکه کسی پرونده را باز کند، این باج‌افزار پرونده‎ها را روی دستگاه قربانی رمزنگاری کرده و پس‌ازآن از وی درخواست باج می‌کند که مبلغ آن تقریباً ۲۵۰ دلار آمریکا است. اگر این کافی نباشد، باج‌افزار یک نسخه از بدافزار Pony را که یک سرقت کننده‌ی مشهور گذرواژه است و  در پرونده جاوا اسکریپت به‌عنوان یک‌رشته‌ی رمزنگاری‌شده روی همان دستگاه قرار داده‌شده است، نصب می‌کند.  
 
 آبرامز ادعا کرده است که این اولین بار است که محققان حملاتی را مشاهده کرده‌اند که از CryptoJS در باج‌افزار استفاده می‌کند، اما همین مورد می‌تواند نشانه‌ای از ظهور موارد بعدی باشد. آبرامز این سه‌شنبه به Thereatpost گفته است: ‌«حملاتی که بر پایه‌ی جاوا اسکریپت هستند، قطعاً در آینده محبوب‌تر خواهند شد اما بیشتر باج‌افزارها هنوز از کدهای کامپایل شده استفاده می‌کنند. 

من فکر می‌کنم که ما در آینده تعداد زیادی از نصب کننده‌ها را خواهیم دید که بر پایه‌ی جاوا اسکریپت نوشته‌شده‌اند، چراکه می‌توان آن‌ها را آسان‌تر نوشته و اشکال‌زدایی کرد. همچنین با مبهم کردن آن‌ها، نرم‌افزارهای ضد بدافزار بسیار سخت‌تر می‌توانند آن‌ها را مورد تجزیه‌وتحلیل قرار دهند. برای مثال تا به امروز این پرونده جاوا اسکریپت تنها نرخ کشفی معادل ۶.۴۴ درصد در رتبه‌بندی سامانه‌ی VirusTotal داشته است».  
 
همچون بسیاری دیگر از گونه‌های باج‌افزارها، RAA یک پسوند به شکل locked. را به آخر نام پرونده‌ها اضافه می‌کند. درحالی‌که این باج‌افزار از برخی پرونده‎های پوشه‌های Program files،Windows files،AppData و Microsoft files چشم‌پوشی می‌کند، اما به پرونده‎های تصویری، اسناد ورد، اکسل و فتوشاپ به‌علاوه‌ی فرمت‎های ذخیره‌سازی نظیر zip و rar. حمله می‌کند.  
 
یادداشت ارائه‌شده از سوی RAA به قربانیان می‌گوید که مبلغ ۰.۳۹ بیت‌کوین معادل ۲۵۰ دلار را به نشانی بیت‌کوین مشخصی ارسال کنند. این یادداشت تصریح می‌کند که تنها پس‌ازاینکه این کار انجام شد، قربانیان می‌توانند کلید مربوطه را دریافت کرده و پرونده‎های خود را با آن رمزگشایی کنند.  
 
 مشخص نیست که باج‌افزار RAA در آینده‌ی نزدیک تا چه حد موفق خواهد شد. به گفته‌ی آبرامز به نظر می‌رسد که حدود ۶۵ قربانی برای باز کردن پرونده جاوا اسکریپت در ظرف چند روز گذشته فریب‌خورده‌اند، اما کارگزار کنترل و فرماندهی مرتبط با این باج‌افزار تاکنون خاموش بوده است. 

اوایل امسال، فابیان وسار یکی از محققان شرکت Emisoft یک نوع مشابه از باج‌افزار را کشف کرده بود که به‌وسیله‌ی Node.js ایجادشده است و به شکل یک پرونده اجرایی بسته‌بندی‌شده، اما این اولین بار است که یک باج‌افزار دیده‌شده که تنها با یک پرونده استاندارد JS عرضه‌شده است. 

منبع: سایبربان
گزارش خطا
ارسال نظرات
نام
ایمیل
نظر