پیشتیبانی باج‌افزار Sage از زبان فارسی‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q239

 


شرکت امنیتی Fortinet هشداری منتشر کرده‌است که به باج‌افزار Sage که در اوایل سال جاری ظاهر شد، قابلیت‌های جدیدی اضافه شده‌است که منجر شده فرار از تجزیه‌وتحلیل و افزایش امتیازات در این باج‌افزار فعال شود.


این بدافزار در اوایل سال ۲۰۱۷ میلادی بسیار فعال بود، اما در ۶ ماه گذشته، فعالیت قابل توجهی نداشته‌است. با این حال، محققان امنیتی Fortinet هشدار می‌دهند که در ماه مارس امسال نمونه‌های مشابهی با یک Sage یافت‌شده که قابلیت‌های افزایش امتیازات و فرار از تجزیه‌وتحلیل را دارا بوده‌است.

با توزیع شدن از طریق ایمیل‌های حاوی هرزنامه و با پیوست‌های مخرب جاوا اسکریپت، Sage نیز متوجه‌شد که زیرساخت‌های توزیع مشابهی را با باج‌افزار Locky به اشتراک گذاشته‌است. همچنین مشاهده‌شد که این بدافزار از طریق پرونده‌های اسناد با ماکروهای مخرب توزیع شده‌است. این بدافزار وسیله‌های نفوذ دامنه‌های .info و .top را برای تحویل بدافزار به‌کار می‌گیرد.

این بدافزار از الگوریتم رمزنگاری ChaCha۲۰ برای رمزنگاری پرونده‌های قربانی و افزودن پسوند .sage به آنها استفاده می‌کند. باج‌افزار Sage از آلوده‌کردن رایانه‌هایی که دارای صفحه‌ کلید بلاروس، قزاق، ازبک، روسی، اوکراین، ساخا و لتونی هستند، اجتناب می‌کند.

با نگاهی به کد Sage متوجه می‌شویم که اکثر رشته‌ها در تلاش برای پنهان کردن رفتار مخرب، رمزنگاری شده‌اند. Fortinet کشف کرده‌است که نویسندگان از الگوریتم رمزنگاری ChaCha۲۰ برای رمزنگاری استفاده کرده‌اند و هر رشته‌ رمزنگاری‌شده، کلید رمزگشایی هاردکد خود را دارد.

علاوه‌بر این، در‌صورتی‌که این بدافزار برای تجزیه‌و‌تحلیل بر روی یک سندباکس یا دستگاه مجازی بارگیری شود، انواع روش‌های تحلیل را برای کشف این موضوع به کار می‌گیرد.

این تهدید تمام فرایندهای فعال بر روی دستگاه را شمارش می‌کند و برای هرکدام از آنها یک عبارت درهم‌سازی محاسبه می‌کند سپس درهم‌سازی‌ها را در برابر یک فهرست هاردکدشده از فرایندهای فهرست سیاه بررسی می‌کند. همچنین در صورتی‌که شامل رشته‌هایی مانند sample، malw، sampel، virus، {sample’s MD۵} و {samples’s SHA۱} باشد، تمام مسیرهایی را که بدافزار اجرا شده و به پایان می‌رسد نیز بررسی می‌کند.

نوع جدید باج‌افزار Sage برای تعیین کردن، نام‌های رایانه و کاربر را نیز در صورتی‌که آنها را با فهرست نام‌های مورد استفاده در محیط سندباکس مطابقت دهد، بررسی می‌کند. همچنین از دستورالعمل CPUID x86 برای دریافت اطلاعات پردازنده و مقایسه‌ آن فهرستی از شناسه‌های CPU فهرست سیاه، استفاده می‌کند.

علاوه‌بر این‌ها، این باج‌افزار بررسی می‌کند که آیا یک ضدبدافزار بر روی رایانه اجرا می‌شود (با بررسی فرایندهایی که تحت مدیریت Service Control Manager اجرا می‌شوند) و آن را در برابر مجموعه‌ای از آدرس‌های MAC لیست سیاه بررسی می‌کند.

همچنین مشخص شد که باج‌افزار Sage می‌تواند با بهره‌برداری از یک آسیب‌پذیری وصله‌شده‌ هسته‌ ویندوز با شناسه‌ (CVE-۲۰۱۵-۰۰۵۷) و یا با بهره‌برداری از eventvwr.exe و به سرقت بردن رجیستری برای دور زدن کنترل حساب کاربر (UAC)، امتیاز خود را افزایش دهد.

یادداشت باج به ۶ زبان دیگر ترجمه شده‌است که نشان می‌دهد نویسنده ممکن است در آینده، کشورهای بیشتری را هدف قرار دهد. قربانیان برای دسترسی به یک وب‌سایت onion با استفاده از مرورگر تور هدایت شده و برای خرید «نرم‌افزار رمزگشای SAGE» باج به مبلغ دوهزار دلار را پرداخت می‌کنند.

گفتنی است زبان‌هایی که درحال‌حاضر این باج‌افزار از آنها پشتیبانی می‌کند شامل زبان‌های انگلیسی، ایتالیایی، آلمانی، فرانسه، اسپانیایی، پرتغالی، هلندی، چینی، کره‌ای، عربی و فارسی است.