شبکه سازمان‌ها هدف باج‌افزار Netwalker

برخی محققان معتقدند که پیکربندی Netwalker یا Mailto در مقایسه با باج‌افزارهای متداول نسبتاً پیشرفته و پرجزییات است. در حالی که تقریباً در تمامی باج‌افزارها فایل‌ها، پوشه‌ها و پسوندهایی خاص از رمزگذاری شدن استثنا می‌شوند در فهرست سفید Mailto مجموعه‌ای به مراتب مفصل‌تر از این موارد در نظر گرفته شده است.

در زمان رمزگذاری فایل‌ها، باج‌افزار، کلمه Mailto را در قالب .mailto[{mail۱}].{id} به فایل رمز شده الصاق می‌کند. برای مثال، نام و پسوند فایل ۱.doc پس از رمز شدن توسط یک نمونه از این باج‌افزار به 1.doc.mailto[sevenoneone@cock.li],۷۷d۸b تغییر می‌کند.

اطلاعیه باج‌گیری Mailto نیز در قالب {ID}-Readme.txt بر روی دستگاه قربانی ایجاد می‌شود. برای مثال، فایل اطلاعیه باج‌گیری در نمونه مذکور با نام ۷۷D۸B-Readme.txt بر روی دستگاه ذخیره می‌شود.

اطلاعیه باج‌گیری شامل توضیحاتی در خصوص بلایی است که بر سر فایل‌های کاربر آمده و برای دریافت اطلاعات بیشتر از جمله آگاهی از نحوه پرداخت باج، قربانی به دو نشانی ایمیل درج شده در اطلاعیه ارجاع می‌شود.

هنوز مشخص نیست که این باج‌افزار حاوی چه نوع ضعفی است که امکان دور زدن سازوکار رمزگذاری آن و رمزگشایی رایگان فایل‌ها را فراهم کند.

پایگاه اینترنتی BleepingComputer نوشته است: اگر چه در آگوست سال میلادی گذشته، نمونه فایلی رمزگذاری شده دارای پسوند Mailto به سایت ID Ransomware ارسال شده بود اما به نظر می‌رسد جزییات آن تا قبل از آلوده شدن شبکه یکی از بزرگترین شرکت‌های ترابری استرالیایی با نام Toll Group به این باج‌افزار در حدود دو هفته قبل، مورد توجه منابع امنیتی قرار نگرفته بود.

در فایل اجرایی نمونه‌ای از باج‌افزار Mailto که اخیراً به دست محققان رسیده اینطور وانمود می‌شود که فایل متعلق به یک نرم‌افزار مدیریت رمزهای عبور با نام Sticky Password است.

با اجرای آن، باج‌افزار بر اساس تنظیماتی که در کد آن لحاظ شده است شروع به کار می‌کند. از جمله این تنظیمات می‌توان به الگوی (Template ) اطلاعیه باج‌گیری  (Ransom Note)، نام‌های فایل اطلاعیه باج‌گیری، تعداد نویسه‌های شناسه/پسوند و فایل‌ها، پوشه‌ها و پسوندهای مستثنی شده اشاره کرد.

 کارشناسان معاونت بررسی مرکز افتا می‌گویند: با در نظر گرفتن اخاذی‌های مهاجمان با مبالغ بالا در جریان حملات باج‌افزاری بر ضد سازمان‌ها توسط، استقبال نویسندگان باج‌افزار از اجرای این نوع حملات هدفمند در حال افزایش است.

No tags for this post.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا