حمله باج افزار مامبا به شرکت های بزرگ مطلب ویژه

چهارشنبه, 25 مرداد 1396 ساعت 12:43 نوشته شده توسط 
این مورد را ارزیابی کنید
(3 رای‌ها)
3
+3

در پایان سال 2016، یک حمله بزرگ به آژانس حمل و نقل شهری صورت گرفت . این حمله توسط باج افزار مامبا انجام شد . این باج افزار از یک ابزار قانونی به نام دیسک کریپتور برای رمزنگاری کل هارد دیسک استفاده می کرد. اخیرا محققان امنیتی کسپرسکی  متوجه شدند که عاملان این باج افزار حمله هایشان را بر علیه شرکت ها از سر گرفته اند.

 

MAMBA-RANSOMWARE 1

 

 

 

 

طبق معمول، این گروه به شبکه سازمان متصل می شوند و سپس از ابزار PSEXEC برای اجرای باج افزار استفاده می کنند. همچنین لازم به ذکر است که برای هر ماشین قربانی در شبکه، مهاجم برای به­کارگیری Disk Crypto یک پسورد ایجاد می کند. این پسورد از طریق خط  دستور به ransomware dropper انتقال داده می شود. 

به طور خلاصه فعالیت های مخرب به دو مرحله تقسیم می شوند:

مرحله 1 ( آماده سازی)

-          یک فولدر ایجاد می شود

-          مولفه دیسک کریپتور در فولدر ریخته می شود

-          درایور دیسک کریپتور نصب می شود

-          سرویس سیستم با نام DefragmentService ایجاد می­شود

-          ماشین قربانی ریبوت می شود

مرحله 2 ( رمز نگاری)

-          Boot Loader در MBR نصب و راه اندازی می شود و Partition های دیسک را با استفاده از نرم افزار Disk Cryptor رمزگذاری می کند.

-          پاکسازی

-          ریبوت سیستم قربانی

 

همزمان که تروجان از Disk Cryptor استفاده می کند، اولین مرحله با نصب این ابزار در ماشین قربانی شروع می شود.Dropper مخرب، ماژول های دیسک کریپتور را در منابع خودش ذخیره می کند. 

1

ماژول های دیسک کریپتور

بسته به اطلاعات سیستم عامل، بدافزار می تواند بین ماژول های دیسک کریپتور 32 یا 64 بیت انتخاب کند. ماژول های ضروری در فولدر C:\xampp\http” منتقل می شوند. 

2

بدافزار ماژول های ضروری را منتقل می کند.

بعد از آن، بدافزار Disk Cryptor را راه اندازی می کند.

 

وقتی دیسک کریپتور نصب شد، بدافزار سرویسی را با پارامترهای SERVICE_ALL_ACCESS  و SERVICE_AUTO_START  ایجاد می کند. 

3

ایجاد عملکرد سرویس مخرب

آخرین قدم مرحله 1 ریبوت کردن سیستم است.

4

اعمال Reboot

مرحله 2 (رمزنگاری)

با استفاده از نرم افزار Disk Cryptor، بدافزار یک BootLoader تازه را در MBR راه اندازی می کند.

5

تصویر : نصب BootLoader در MBR

6

بعد از آنکه bootloader  نصب شد، PartitionDisk با استفاده از یک Password رمزنگاری می شود، که قبلا به عنوان خط دستوری برای Dropper مشخص می گشتند.

7

بعد از آنکه رمزنگاری تمام شد، سیستم ریبوت می شود و قربانی پیام Ransom زیر را روی صفحه خواهد دید. 

8

محصولات Kaspersky Lab با کمک قسمت System Watcher با دستور زیر این تهدید را شناسایی می کنند: PDM:Trojan.Win32.Generic

رمزگشایی

متاسفانه راهی برای رمزگشایی داده هایی که قبلا با ابزار DiskCryptor  رمزنگاری شده اند وجود ندارد، چرا که این ابزار قانونی از الگوریتم های رمزنگاری خیلی قوی استفاده می کند. 

نام و نام خانوادگی(*)
Please type your full name.

پست الکترونیک(*)
لطفا آدرس ایمیل خود را به درستی وارد کنید!

موضوع
ورودی نامعتبر است

متن پیام(*)
لطفا متن پیام خود را وارد کنید!

لطفا کد امنیتی را وارد کنید.(*)
لطفا کد امنیتی را وارد کنید.
  تازه کردنورودی نامعتبر است

آخرین ویرایش در چهارشنبه, 10 آبان 1396 ساعت 06:52