هشدارهای افتایی
یک باج‌افزار به عنوان سرویس (RaaS) جدیدی به نام Yatron کشف شده که قصد‌ دارد از اکسپلویت‌هایEternalBlue  و DoublePulsar برای توزیع و گسترش خود به سایر رایانه‌ها در شبکه استفاده کند. همچنین این باج‌افزار در صورت پرداخت‌نشدن مبلغ باج درخواستی در مدت 72 ساعت اقدام به حذف فایل‌های رمزگذاری‌شده می‌کند. 
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت BleepinComputer، عامل پشت این باج‌افزار به طرز عجیبی در حال پخش و گسترش این سرویس با ارسال توییت به پژوهشگران باج‌افزار و پژوهشگران امنیتی مختلف است. مانند هر باج‌افزار دیگر، بعد از اجرا، باج‌افزار رایانه را برای یافتن فایل‌های هدف بررسی و آن‌ها را رمزگذاری می‌کند. هنگام رمزگذاری یک فایل، پسوند Yatron. را به نام فایل رمزگذاری‌شده اضافه می‌کند. پس از اتمام رمزگذاری فایل‌ها، گذرواژه و شناسه منحصر به فرد رمزگذاری را به سرور فرمان و کنترل باج‌افزار ارسال می‌کند. این باج‌افزار بر اساس HiddenTear طراحی شده‌، اما الگوریتم رمزنگاری آن اصلاح‌شده است تا با استفاده از روش‌های فعلی رمزگشایی نشود.
Yatron حاوی کدی برای استفاده از اکسپلویت‌های EternalBlue و DoublePulsar است تا با استفاده از آسیب‌پذیری‌های SMBv1، که مدت‌ها قبل باید رفع می‌شدند، خود را در سیستم‌های ویندوزی که در شبکه یکسان هستند، گسترش ‌دهد. خوشبختانه کد استفاده از دو اکسپلویت EternalBlue و DoublePulsar هنوز ناقص است و باج‌افزار در حال حاضر قابلیت استفاده از فایل اجرایی این دو اکسپلویت که بر آن‌ها متکی است را ندارد.
علاوه بر بهره‌برداری از آسیب‌پذیری‌ها،Yatron  تلاش می‌کند از طریق برنامه‌های P2P و با کپی‌کردن فایل اجرایی خود به پوشه‌های پیش‌فرض مورد استفاده برنامه‌هایی مانند Kazaa، Ares،eMule  و غیره، گسترش یابد. هنگام شروع این برنامه‌ها، باج‌افزار به طور خودکار توسط کاربر P2P به اشتراک گذاشته می‌شود.
بعد از پایان رمزگذاری، باج‌افزار رابطی را نمایش می‌دهد که حاوی شمارشگری با 72 ساعت مهلت تا پاک‌شدن فایل‌های رمزگذاری‌شده است. برای محافظت فایل‌ها دربرابر حذف‌شدن، کاربر می‌تواند فرآیند باج‌خواهی را با اجرای ابزاری مانند Process Explorer در سطح ادمین متوقف‌کند.
Yatron به عنوان یک باج‌افزار به عنوان سرویس (RaaS) معرفی شده‌، اما کمی متفاوت‌تر از یک RaaS معمولی است. به طور معمول، هنگامی که مجرمان تازه‌کار به یک RaaS می‌پیوندند، توسعه‌دهنده سهمی از درآمد تمام باج‌های پرداخت‌شده را دریافت می‌کند. به عنوان مثال، برخی از RaaSها، 20 درصد از تمام باج‌ها را دریافت می‌کنند، در حالی که توزیع‌کننده‌ها 80 درصد باقیمانده را به دست می آورند. این باج‌افزار تنها مبلغ 100 دلار در ابتدا بصورت بیت‌کوین دریافت می‌کند و هیچ درصدی از باج‌ها را درخواست نمی‌کند.
نشانه‌های آلودگی (IoC):
هش:
•    7910b3f3a04644d12b8e656aa4934c59a4e3083a2a9c476bf752dc54192c255b
منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.