شبکه سازمانها هدف باجافزار Netwalker
برخی محققان معتقدند که پیکربندی Netwalker یا Mailto در مقایسه با باجافزارهای متداول نسبتاً پیشرفته و پرجزییات است. در حالی که تقریباً در تمامی باجافزارها فایلها، پوشهها و پسوندهایی خاص از رمزگذاری شدن استثنا میشوند در فهرست سفید Mailto مجموعهای به مراتب مفصلتر از این موارد در نظر گرفته شده است.
در زمان رمزگذاری فایلها، باجافزار، کلمه Mailto را در قالب .mailto[{mail۱}].{id} به فایل رمز شده الصاق میکند. برای مثال، نام و پسوند فایل ۱.doc پس از رمز شدن توسط یک نمونه از این باجافزار به 1.doc.mailto[sevenoneone@cock.li],۷۷d۸b تغییر میکند.
اطلاعیه باجگیری Mailto نیز در قالب {ID}-Readme.txt بر روی دستگاه قربانی ایجاد میشود. برای مثال، فایل اطلاعیه باجگیری در نمونه مذکور با نام ۷۷D۸B-Readme.txt بر روی دستگاه ذخیره میشود.
اطلاعیه باجگیری شامل توضیحاتی در خصوص بلایی است که بر سر فایلهای کاربر آمده و برای دریافت اطلاعات بیشتر از جمله آگاهی از نحوه پرداخت باج، قربانی به دو نشانی ایمیل درج شده در اطلاعیه ارجاع میشود.
هنوز مشخص نیست که این باجافزار حاوی چه نوع ضعفی است که امکان دور زدن سازوکار رمزگذاری آن و رمزگشایی رایگان فایلها را فراهم کند.
پایگاه اینترنتی BleepingComputer نوشته است: اگر چه در آگوست سال میلادی گذشته، نمونه فایلی رمزگذاری شده دارای پسوند Mailto به سایت ID Ransomware ارسال شده بود اما به نظر میرسد جزییات آن تا قبل از آلوده شدن شبکه یکی از بزرگترین شرکتهای ترابری استرالیایی با نام Toll Group به این باجافزار در حدود دو هفته قبل، مورد توجه منابع امنیتی قرار نگرفته بود.
در فایل اجرایی نمونهای از باجافزار Mailto که اخیراً به دست محققان رسیده اینطور وانمود میشود که فایل متعلق به یک نرمافزار مدیریت رمزهای عبور با نام Sticky Password است.
با اجرای آن، باجافزار بر اساس تنظیماتی که در کد آن لحاظ شده است شروع به کار میکند. از جمله این تنظیمات میتوان به الگوی (Template ) اطلاعیه باجگیری (Ransom Note)، نامهای فایل اطلاعیه باجگیری، تعداد نویسههای شناسه/پسوند و فایلها، پوشهها و پسوندهای مستثنی شده اشاره کرد.
کارشناسان معاونت بررسی مرکز افتا میگویند: با در نظر گرفتن اخاذیهای مهاجمان با مبالغ بالا در جریان حملات باجافزاری بر ضد سازمانها توسط، استقبال نویسندگان باجافزار از اجرای این نوع حملات هدفمند در حال افزایش است.
No tags for this post.