info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بازگشت مامبا، باج‌افزار خشن

خلاصه: در پایان سال ۲۰۱۶، حملات عمده ای به آژانس حمل و نقل شهری سان فرانسیسکو رخ داد این حمله با استفاده از باج‌افزار مامبا انجام شد این باج‌افزار از یک ابزار قانونی به نام DiskCryptor برای رمزگذاری کامل دیسک استفاده می‌کند. گروه پشت حملات این باج‌افزار در ماه اخیر حملات خود را بر روی شرکت‌ها متمرکز کرده‌اند.

باج‌افزار مامبا که کاربران ویندوز را تحت تاثیر قرارداده تاکنون قربانیان زیادی را در اکثر نقاط دنیا به خصوص در برزیل، هند و آمریکا گرفته است و همچنان از طریق حملات فیشینگ، این باج‌افزار در حال گسترش است .

این باج‌افزار خطرناک به عنوان خشن‌ترین باج‌افزاری که تا به حال به وجود آمده مشهور است؛ چرا که این باج‌افزار کل دیسک سخت را رمزنگاری می‌کند ودیگر اطلاعات را به صورت فایل‌ها و پوشه‌های جدا رمز نمی‌کند. به همین علت سبب می‌شود که کاربر نتواند سیستم عامل را راه اندازی کند وکاربر در همان ابتدای روشن کردن رایانه با پیام هکرها مواجه می‌شود.

در ماه اخیر گروه پشت حملات این باج‌افزار، حملات خود را بر روی شرکت‌هایی در کشور‌های برزیل و عربستان متمرکز کرده‌اند.

 به طور معمول، این گروه با دسترسی به شبکه سازمان و با استفاده از ابزار   psexecباج‌افزار را اجرا می‌کنند. همچنین لازم به ذکر است که برای هر دستگاه در شبکه قربانی، تهدید کننده یک رمز عبور برای ابزار DiskCryptor تولید می‌کند.

تجزیه و تحلیل فنی

مرحله ۱(آماده سازی)

همانطور که گفته شد تروجان از ابزار Diskcryptor استفاده می‌کند. در مرحله اول با نصب این ابزار بر روی دستگاه قربانی حافظه‌های مخرب Diskcryptor را در منابع خود ذخیره می‌کند.

 

بسته به اطلاعات سیستم عامل، نرم‌افزارهای مخرب قادر به انتخاب یک ماژول ۳۲ یا ۶۴ بیتی هستند. ماژول‌های لازم به پوشه C: \ xampp \ http  اضافه خواهند شد.

 

 هنگامی‌که DiskCryptor نصب می‌شود، نرم‌افزار مخرب یک سرویس راه اندازی  می‌کند که پارامتر‌های SERVICE_ALL_ACCESS و SERVICE_AUTO_START در آن وجود دارد که از آن‌ها به جهت تخریب استفاده می‌کند.

مرحله ۲ (رمز گذاری)

 با استفاده از نرم‌افزار DiskCryptor، بدافزار یک بار BootLoader  جدید را به MBR اضافه می‌کند.

BootLoader  شامل پیغام برای قربانی است.

 

پس از تنظیمBootLoader ، پارتیشن‌های دیسک رمزگذاری می‌شود

 

 هنگامی که رمزگذاری به پایان می‌رسد، سیستم راه‌اندازی مجدد خواهد شد و قربانی یک پیغام را بر روی صفحه مشاهده می‌کند.

 

 متاسفانه هیچ راهی برای رمزگشایی داده‌هایی که با استفاده از ابزار DiskCryptor رمزگذاری شده‌اند وجود ندارد؛ زیرا این ابزار قانونی از الگوریتم‌های رمزنگاری قوی استفاده می‌کند.

تحت نظارت وف ایرانی