ظهور نوع جدیدی از باج‌افزارِ Jaff

0
115
باج افزار Jaff

هرچند که WannaCry در صدر اخبار چند هفته‌ی گذشته قرار داشته است اما نباید آن را تنها باج‌افزار (Ransomware) فراگیر دانست. تهدید مشابه دیگری به نام Jaff وجود دارد که از دسته‌ی باج‌افزارها بوده و تنها چند روز پیش از گسترش WannaCry پدیدار شده است.

انتشار Jaff به دلیل آنکه از بات‌نت Necurs استفاده می کند و از صفحه‌ای مشابه با باج‌افزار Locky بهره می‌برد، از همان ابتدا توجه‌ بسیاری را به خود معطوف نموده و محققان امنیتی را معتقد ساخته است که این تهدید با عامل ایجادکننده‌ی باج‌افزار‌های Locky، Dridex و همچنین Bart مرتبط می‌باشد.

باج‌افزار ذکرشده اقدام به افزودن پسوند .jaff به فایل‌های رمزگذاری‌شده نموده و سپس مبلغ بالایی معادل با ۵ هزار دلار مطالبه می‌کند. حامل آلودگی نیز فایل‌های با پسوند PDF می‌باشند که در قالب پیوست‌هایی به صورت Spam ارسال می‌شوند.

Brad Duncan به عنوان یکی از تحلیلگران حوزه‌ی شناسایی هوشمند تهدیدات در موسسه‌ی Palo Alto Networks اظهار داشت: به تازگی نوع جدیدی از باج‌افزار Jaff شناسایی شده است که هرچند همانند باج‌افزار Jaff همچنان از Necrus و فایل‌های PDF برای آلوده کردن استفاده می‌نماید اما استفاده از پسوند jaff. و پیام باج‌خواهی شبیه به Locky را کنار گذاشته است.

این باج‌افزار جدید پسوند wlu. را به فایل‌های رمزگذاری‌شده‌ اضافه نموده و پیام باج‌خواهی را با فونت سبز در زمینه‌ای تاریک ارسال می‌کند‌. مبلغ درخواستی فعلی از سوی برنامه‌نویسان این باج‌افزار معادل با ۹۰۰ دلار می‌باشد.

اخیرا نیز مشاهده شده است که ایمیل‌های منتشرکننده‌ی این نوع جدید از Jaff  اقدام به نمایش لیستی جعلی از محتوای ایمیل‌ها می‌کنند. در این پیام‌ها یک پیوست PDF به چشم می‌خورد که یک فایل Word دارای Macro‌های مخرب را با هدف آلوده کردن سیستم‌ در خود جای داده است.

به گفته‌ی Duncan، ‌ماکرو‌های موجود در فایل Word به ایجاد یک URL اولیه می‌پردازند تا کدهای باینری Jaff را دانلود نمایند، در این مرحله URL دیگری نیز جهت برقراری ارتباط این باج‌افزار با Host آلوده ایجاد می‌شود. درخواست HTTP اولیه برای Jaff یک کد باینری XOR شده با رشته‌ی اَسکی ۶cqcYo7wQ را بازمی‌گرداند.

نسخه‌ی جدید Jaff نیز مانند نوع اولیه‌ی آن، بیش از ۴۰۰ نوع فایل را هدف قرار می‌دهد و پس از پایان روند رمزگذاری، یک متن باج‌خواهی جهت اطلاع قربانی از آلودگی ایجادشده و نحوه‌ی پرداخت پول ارسال می‌شود.

به دلیل ارتباط Jaff با گروه‌های بسیار زیادی از مجرمان، احتمال انتشار سریع آن به عنوان یک تهدید قابل توجه وجود دارد. هرچند WannaCry در جایگاه خبری بالاتری قرار داشته است اما شیوع Jaff نیز به مرور در حال افزایش است.

بدون دیدگاه

دیدگاهتان را بنویسید

*