آشنایی با باج‌افزار Wannacrypt

در رصدهای امروزمان متوجه شدیم، که WCry تمام توجه تیم را به خاطر شیوع آن از طریق خلاءهای امنیتی در نرم‌افزارهای آژانس امنیت ملی آمریکا (NSA) که توسط گروه هکری Shadow broker کشف شده، به خود معطوف کرده است.

 

در رصدهای امروزمان متوجه شدیم، که WCry تمام توجه تیم را به خاطر شیوع آن از طریق خلاءهای امنیتی در نرم‌افزارهای آژانس امنیت ملی آمریکا (NSA) که توسط گروه هکری Shadow broker کشف شده، به خود معطوف کرده است. WCry بسیاری از سازمان‌ها و مؤسسات دولتی و خصوصی از جمله Telco Giant Telefonica (شرکت مخابراتی تلفونیکا) در اسپانیا و National Health Service (سرویس سلامت ملی) در انگلستان، را شگفت زده کرد، و هم اکنون دها هزار کامپیوتر در سراسر جهان را آلوده کرده است!

 

 

اقدامات عملی جهت پیشگیری و مقابله با باج افزار WannCrypt

محققان امنیتی در MalwareTech موفق به طراحی نقشه شیوع آلودگی جهانی به همراه یک نقشه آنلاین افزایش آلودگی به این باج‌افزار شده‌اند، که تجسم کردن آلودگی به باج‌افزار WCry برای ما راحت شود. هم اکنون بیش از 70،000 سیستم به این باج‌افزار آلوده شده‌اند.

 

 

با باج افزار WCry بیشتر آشنا شوید
باج‌افزار WCry، که همچنین به نام‌های WNCry، WannaCry، WanaCrypt0r و Wana Decrypt0r شناخته می‌شود، اساساً در کمپین‌های حملات باج‌افزاری در اسفند ماه 1395 (February 2017) و بیشتر در فروردین ماه 1396 (March 2017) مورد توجه قرار گرفت. اما تا پیش از امروز به عنوان یک تهدید امنیتی جهانی ثبت نشده نبود.

این باج‌افزار به زبان CPP نوشته شده بود که هیچ تلاشی نیز برای مخفی بودن کد اصلی در آن مشاهده نشد. مانند بسیاری از خانواده‌ی باج‌افزارها، WCry در فرآیند رمزگذاری پس از تعویض نام فایل‌ها و فرمت آن را نیز به WNCRY. تغییر می‌دهد. پس از آلوده شدن سیستم، صفحه‌ای باج خواهانه، مبنی‌بر پرداخت بیت‌کوین به ارزش 300 دلار را نمایش می‌دهد:

 

 

بر خلاف اکثر کمپین‌های حملات باج‌افزاری، که معمولاً مناطق خاصی در دنیا را هدف قرار داده‌اند، WCry تمام سیستم‌ها در سرتاسر دنیا را هدف گرفته است. بنابراین تعجب نمی‌کنید اگر بگوییم که پیغام باج‌خواهانه‌ی آن برای بیش از 20 زبان دنیا طراحی شده است:

 

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

 

 

چگونه سیستم شما به باج افزار WCry آلوده می شود؟

در حال حاضر WCry در درجه اول از طریق خلاء امنیتی که اخیراً توسط تیم هکری Shadow broker در سازمان امنیت ملی آمریکا (National Security Agency) شناسایی شده شیوع می‌یابد. به طور خاص نیز محقق فرانسوی Kaffine به عنوان اولین شناسایی متوجه شد که WCry از طریق خلاء امنیتی EternalBlue گسترش میابد.

خلاء امنیتی EternalBlue یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت است که به هکر اجازه کنترل سیستم را در موارد زیر می‌دهد:

  • پروتکل SMBv1 را فعال می‌کند،
  • و سیستم از طریق اینترنت در دسترس می‌باشد،
  • و در آخرین بروز رسانی امنیتی میکروسافت به نام MS17-010 fix که در فروردین ماه 1396 (March 2017) منتشر شد، رفع نشده است.

 

همچنین به نظر می‌رسد که طراحان این مخرب از یک backdoor موسوم به DOUBLESPEAR که معمولاً از طریق خلاء ETERNALBLUE نصب می‌شود، سود جسته‌اند و مصرانه در سیستم باقی می‌مانند. بنابراین اگر سیستم شما قبلاً از طریق خلاء امنیتی ETERNALBLUE در معرض خطر قرار گرفته، ممکن است هنوز آسیب پذیر باشد، حتی اگر معضل پروتکل SMBv1 مایکروسافت برطرف شده باشد.

خود فایل اجرایی این باج‌افزار را به بهترین شکل می‌توان یه یک قطره چکان توصیف کرد، که تمام بخش‌های مختلف باج‌افزارهای دیگر را در قالب یک فایل فشرده شده‌ی رمزدار درون خود جای داده است. پس از اجرا، شروع به باز کردن فایل‌های فشرده‌ی هر بخش در پوشه‌ای که توسط رمزعبور “WNcry@2ol7” و بسیار پیچیده کد شده است، می‌نماید. یک بازرسی دقیق‌تر از فایل فشرده فایل‌های زیر را نمایش می‌دهد:

 

  • b.wnry – تصویر دسکتاپ مربوط به باج‌افزار
  • c.wnry – فایل پیکربندی شامل آدرس سرور C2، کیف‌پول بیت‌کوین و …
  • r.wnrypan> – پیغام باج‌خواهانه
  • t.wnry – بخش رمزگذاری باج‌افزار که با استفاده از فرمت مخصوص WanaCry رمزنگاری شده است؛ که امکان رمزگشایی آن توسط کلید اختصاصی که در فایل اجرایی باج‌افزار جاسازی شده، ممکن است.
  • u.wnry – فایل اجرایی رمزگشا
  • Taskdl.exe – تمام فایل‌های موقتی که در فرآیند رمزگذاری ایجاد شده‌اند را پاکسازی می‌کند (WNCRYT.)
  • Taskse.exe – برنامه باج‌افزار را در تمام جلسات فعال (Sessions) کاربر اجرا می‌کند.
  • msg* – فایل‌های مربوط به زبان (در حال حاضر 28 زبان مختلف)

 

علاوه بر موارد ذکر شده باج‌افزار فایهای اضافی دیگری نیز تولید می‌کند:

 

  • 00000000.eky – کلید رمزگشایی برای فایل t.wnry که فایل اصلی رمزگذاری باج‌افزار را نگهداری می‌کند. این فایل توسط یک کلید عمومی       رمزگذاری شده که متعلق به یک کلید خصوصی است که درون باج‌افزار جاسازی (Embedded) شده است.
  • 00000000.eky – کلید رمزگشایی برای فایل t.wnry که فایل اصلی رمزگذاری باج‌افزار را نگهداری می‌کند. این فایل توسط یک کلید عمومی  رمزگذاری شده که متعلق به یک کلید خصوصی است که درون باج‌افزار جاسازی (Embedded) شده است.
  • 00000000.res – نتایج ارتباطات C2

 

می‌توانید لیستی از تمام تغییراتی که توسط باج‌افزار به سیستم قربانی اعمال شده است، در انتهای مطلب در بخش “شاخص‌های سازش” بیابید.

 

 

سیستم رمزگذاری و رمزگشایی WCry
باج‌افزار WCry ترکیبی از تکنولوژی RSA و AES-128-CBC را برای رمزگذاری فایل‌های سیستم قربانی به کار می‌گیرد. برای ساده‌ سازی این فرآیند، از ابزار ویندوزی CryptoAPI برای RSA، اما با یک پیاده‌سازی سفارشی شده با استفاده از تکنولوژی AES، استفاده می‌کند. جالب توجه است که فرآیند روتین رمزگذاری در فایل t.wnry ذخیره می‌شود، که خود این فایل نیز توسط باج‌افزار با روش مشابهی رمزگذاری می‌شود. این عملیات برای هرچه پیچیده‌سازی فرآیند رمزگذاری و آنالیز این مخرب صورت گرفته است. ماژول مورد نظر از طریق یک بارگزار سفارشی در حافظه قرار می‌گیرد و از آنجا اجرا می‌شود، بدون آنکه حتی روی هارد دیسک سیستم قربانی به صورت رمزگشایی شده بارگذاری شود!
زمانی که WCry به یک سیستم می‌رسد، ابتدا یک کلید خصوصی کد شده‌ی RSA را وارد می‌کند، که عمل رمزگشایی از «بخش رمزگذار فایل‌ها» را انجام می‌دهد که در “t.wnry” ذخیره شده است. به محض پایان، باج‌افزار یک کلید خصوصی RSA تولید می‌کند. سپس کلید RSA به مرکز فرمان و کنترل باج‌افزار ارسال می‌شود و یک کپی از این کلید عمومی تولید شده در سیستم ذخیره می‌شود.
سپس باج‌افزار تمام درایوها و پوشه‌های اشتراکی در شبکه آن سیستم را برای یافتن فایل‌هایی با پسوندهای زیر، جستجو میکند.پس از پایان، این باج افزار یک کلید جدید 128 بیتی AES برای هر فایلی که پیدا کند می‌سازد که با استفاده از کلید عمومی RSA که قبلا تولید شده است و کلید AES رمزنگاری شده‌ی RSA همراه با نشانگر فایل “WANACRY!” در هدر فایل رمزگذاری شده ذخیره می‌شود. کلید AES سپس برای رمزگذاری محتوای فایل استفاده می‌شود.

متأسفانه پس از ارزیابی روشی که WCry برای رمزگذاری انجام می‌دهد، راهی برای بازگردانی فایل‌های رمزگذاری شده بدون دسترسی به کلید خصوصی ایجاد شده توسط باجگیر وجود ندارد. بنابراین ارائه رمزگشا برای باجگیر WCry ممکن نیست!

 

der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch,.sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm,.potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls,.dotx, .dotm, .dot, .docm,.docb, .docx, .doc, .c, .h

 

 

چگونه می توان از خود در برابر WCry محافظت نمود؟

همانطور که در مقاله‌ی باجگیر (ransomware) توضیح داده‌ایم، همچنان بهترین حفاظت، استراتژی قابل اعتماد و ثابت شده‌ی پشتیبان‌گیری (backup) است، مخصوصاً اگر که رمزگذاری توسط باجگیر WCry انجام شود. تنها راه برای بازگرداندن اطلاعات، تماس با نویسنده‌ی باجگیر برای کمک گرفتن از او یا بازگردانی اطلاعات از پشتیبان است.مطمئن شوید که به‌روزرسانی‌های حیاتی ویندوز را نصب کرده‌اید که این مورد یک گام بسیار مهم برای حفاظت از سیستم است چراکه به نظر می‌رسد اکنون تنها راه گسترش WCry از طریق اکسپلویت SMBv1 است که در حدود 2 ماه قبل پتچ (برطرف) شده است. به غیر از پشتیبان‌گیری منظم، شما خوشحال خواهید شد که بشنوید تکنولوژی رفتارشناسی استفاده شده در ضد مخرب و اینترنت‌سکیوریتی امسی‌سافت ثابت کرده است که بهترین دفاع ثانوی خواهد بود چرا که باجگیر را قبل از اینکه بتواند اجرا شود، به دام انداخت. در نتیجه یک بار دیگر از کاربران ما در برابر این مخرب و صدها مورد دیگر از خانواده‌ی‌ باجگیرها بدون نیاز به به‌روزرسانی محافظت کرد.

 

کاربران ضد مخرب و اینترنت‌سکیوریتی امسی‌سافت توسط تکنولوژی رفتارشناسی (Behavior Blocker) در برابر WCry محافظت می‌شوند.

 

کلیدهای رجیستری:
HKLMSOFTWAREWanaCrypt0r
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun<random>: “”<ransomware directory>tasksche.exe””
HKLMSOFTWAREWanaCrypt0rwd: “<ransomware directory>”>
HKUS-1-5-21-677641349-3533616285-3951951702-1000Control PanelDesktopWallpaper: “%APPDATA%MicrosoftWindowsThemesTranscodedWallpaper.jpg”
HKUS-1-5-21-677641349-3533616285-3951951702-1000Control PanelDesktopWallpaper: “<ransomware directory>@WanaDecryptor@.bmp”

 

 

فایل های سیستم:

@Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
@WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
%DESKTOP%@WanaDecryptor@.bmp
%DESKTOP%@WanaDecryptor@.exe
%DESKTOP%@WanaDecryptor@.exe
%APPDATA%torcached-certs
%APPDATA%torcached-microdesc-consensus
%APPDATA%torcached-microdescs.new
%APPDATA%torlock
%APPDATA%torstate
<ransomware directory>0000000.eky
<ransomware directory>0000000.pky
<ransomware directory>0000000.res
<ransomware directory>@WanaDecryptor@.bmp
<ransomware directory>@WanaDecryptor@.exe
<ransomware directory>b.wnry
<ransomware directory>c.wnry
<ransomware directory>f.wnry
<ransomware directory>msgm_bulgarian.wnry
<ransomware directory>msgm_chinese (simplified).wnry
<ransomware directory>msgm_chinese (traditional).wnry
<ransomware directory>msgm_croatian.wnry
<ransomware directory>msgm_czech.wnry
<ransomware directory>msgm_danish.wnry
<ransomware directory>msgm_dutch.wnry
<ransomware directory>msgm_english.wnry
<ransomware directory>msgm_filipino.wnry
<ransomware directory>msgm_finnish.wnry
<ransomware directory>msgm_french.wnry
<ransomware directory>msgm_german.wnry
<ransomware directory>msgm_greek.wnry
<ransomware directory>msgm_indonesian.wnry
<ransomware directory>msgm_italian.wnry
<ransomware directo
کلمات کلیدی