باج افزار RAA و نحوه عملکرد آن

0
335
باج افزار RAA

کارشناسان امنیتی نوع جدیدی از باج‌افزارها (Ransomware) را شناسایی کرده‌اند که کاملا به زبان Jscript کدنویسی شده‌ است و به صورت بالقوه تلاش می‌کنند تا مانع شناسایی توسط ابزارهای سنتی فیلترینگ گردند.

 در ابتدا این فرضیه وجود داشت که باج‌افزار RAA به زبان Jscript نوشته شده‌ است، اما طبق گفته Renaud Bidou، مدیر فنی Trend Micro این همه‌ی ماجرا نیست. وی اظهار داشت که این تهدید جدید تحت عنوان RANSOM_JSRAA.A به زبان مخصوص سیستم‌های ویندوز نوشته شده است-و توسط موتور Windows Scripting Host از طریق Internet Explorer و نه Edge اجرا می‌شود.

وی عنوان کرد: احتمالا کلاه‌برداران سایبری از زبان برنامه‌نویسی JScript استفاده می‌کنند تا یک لایه پیچیدگی‌ دیگری را در فرآیند شناسایی ایجاد نمایند در حالی که با این کار Polymorphism و ایجاد ابهام نیز تسهیل می‌گردد.

وی در ادامه افزود: مجرمان سایبری از ورود خود به یک عرصه رقابتی آگاه می‌باشند، بنابراین روی مدت زمانی که باج‌افزار آنها شناسایی نشده و موجب دستیابی آنها به سود بیشتر از سوی قربانیان این باج‌افزارها می‌گردد، سرمایه‌گذاری می‌کنند.

 وی اظهار داشت که زبان برنامه‌نویسی JScript و دیگر نمونه‌های مشابه، زبان‌هایی با قابلیت انتقال بالا می‌باشند که از قابلیت اجرا بر روی اغلب سیستم‌های مبتنی بر سیستم عامل ویندوز، بدون نیاز به هیچ گونه تغییر در کدها برخوردار می‌باشند.

وی در ادامه افزود: این باج‌افزار با کلیک بر روی فایل Attach شده به ایمیل اسپم و همچنین از طریق یک Object در برنامه Office یا حتی از طریق Command Line قابل اجرا می‌باشد. در این باج‌افزار رمزگذاری از طریق برنامه متن باز CryptoJS صورت می‌گیرد که از AES-128، AES-192 و AES-256 پشتیبانی نموده و ۱۶ نوع فایل را رمزگذاری و تخریب می‌کند؛ البته قابل ذکر است که این باج افزار فایل‌های موجود در دایرکتوری‌هایی مانند Recycle Bin، Program File، Temp و ویندوز را مورد حمله قرار نمی‌دهد.

در صورتی که رمزگذاری روی مهم‌ترین فایل‌های قربانی کافی نباشد، این باج‌افزار، بدافزار سرقت داده‌های (Fareit (Pony را فعال می‌نماید که جهت سرقت اطلاعات اعتباری ذخیره‌شده‌ از Clientهای FTP، مرورگرهای وب، Clientهای ایمیل و همچنین Bitcoin Walletها طراحی شده‌ است.

همچنین این بدافزار در صورت فعال شدن، پشتیبان‌گیری و بازیابی اطلاعات را غیرفعال نموده و ممکن است مشکلات بیشتری را برای Adminهای IT ایجاد نماید.

به‌نظر می‌رسد باج‌افزار RAA یکی از پیچیده‌ترین انواع باج‌افزارها باشد. این باج‌افزار به ارائه پشتیبانی از طریق Bitmessage به عنوان یک پروتکل ارتباطات غیرمتمرکز P2P می‌پردازد که برای ارسال پیام‌های رمزگذاری‌شده و همچنین ارائه پیشنهاد برای رمزگشایی چندین فایل نمونه به صورت رایگان استفاده می‌شود تا قانونی بودن این باج‌افزار را اثبات نماید.

Trend Micro به سازمان‌ها توصیه می‌کند خطر حمله‌ی باج‌افزارها را از طریق فرآیند پشتیبان‌گیری طبق قاعده‌ی ۱-۲-۳ (حداقل سه نسخه در دو فرمت متفاوت به همراه یک نسخه‌ی خارج از سازمانی) کاهش دهند.

همچنین به مدیران حوزه‌ی امنیت IT پیشنهاد می‌کند که یک رویکرد لایه‌ای را برای محافظت در مقابل تهدیدات اتخاذ کنند که درگاه ایمیل و وب، شبکه و سرورها را به منظور کاهش خطرات به نحوی جامع و فراگیر پوشش دهد.

بدون دیدگاه

دیدگاهتان را بنویسید

*