هشدارهای افتایی
باج‌افزار جدیدی با عنوان RegretLocker با بکارگیری مجموعه‌ای از سازوکارهای پیشرفته به رمزگذاری درایوهای ماشین‌های مجازی مبتنی بر Hyper-V حتی در زمان فعال بودن آنها اقدام می‌کند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایتbleepingcomputer، باج‌افزار RegretLocker باج‌افزار در ظاهر ساده‌ای است که نخستین نمونه آن حدود یک ماه قبل شناسایی شد. بر اساس مندرجات طولانی اطلاعیه باج‌گیری (Ransom Note) آن، ایمیل، – و نه سایت پرداخت Tor – راه ارتباطی قربانیان با گردانندگان این باج‌افزار است.
 

RegretLocker به فایل‌های رمزگذاری شده پسوند mouse را الصاق می‌کند.
 

در نگاه اول، همه چیز در RegretLocker ساده و مشابه با باج‌افزارهای متداول است. اما این باج‌افزار دارای قابلیت خاصی است.
در زمان ایجاد ماشین مجازی در بستر Hyper-V یک دیسک سخت مجازی در قالب فایل VHD یا VHDX ایجاد می‌شود.
فایل‌های مذکور تصویری از دیسک (Raw Disk Image) هستند که Partition Table و گیگابایت‌ها یا ترابایت‌ها اطلاعات را شامل می‌شوند.
رمزگذاری فایل‌های با اندازه بالا به دلیل کند کردن سرعت فرایند رمزگذاری سیستم، منطقی نیست. اما RegretLocker از تکنیکی جالب جهت Mount کردن فایل دیسک مجازی استفاده می‌کند تا بدین‌ترتیب امکان رمزگذاری هر فایل به‌صورت جداگانه برای آن فراهم شود.
RegretLocker از سه API زیر به منظور Mount کردن دیسک‌های مجازی در Windows بهره می‌گیرد:


بر اساس پیام موسوم به Debug زیر در کد، این باج‌افزار به‌طور خاص به جستجوی فایل‌های VHD پرداخته و در ادامه اقدام به Mount کردن آنها می‌کند.
parse_files() | Found virtual drive: %ws in path: %s
به‌محض آنکه درایو مجازی به‌عنوان یک دیسک مجازی Mount شد باج‌افزار قادر به رمزگذاری هر کدام از فایل‌ها به‌طور مستقل شده و در عمل موجب تسریع سرعت رمزگذاری می‌شود.
کد مورد استفاده RegretLocker برای Mount کردن احتمالا از لینک زیر استخراج شده است:
همچنین RegretLocker از Windows Restart Manager API برای متوقف کردن پروسه‌ها یا سرویس‌های Windows که فایل‌های مورد نظر باج‌افزار را در اختیار دارند و مانع از اعمال تغییر در آنها می‌شوند بهره می‌گیرد.
در زمان فراخوانی این API در صورتی که نام پروسه‌ای شامل vnc، ssh، mstsc، System یا svchost.exe باشد، RegretLocker از متوقف کردن آن خودداری می‌کند. احتمالا هدف از این استثناسازی جلوگیری از کار افتادن برنامه‌های حیاتی مورد استفاده مهاجمان است.
 

باج‌افزارهای زیر نیز از Windows Restart Manager استفاده می‌کنند.
  •     REvil  (که با نام Sodinokibi نیز شناخته می‌شود.)
  •     Ryuk
  •     Conti
  •     ThunderX/Ako
  •     Medusa Locker
  •     SamSam
  •     LockerGoga
RegretLocker گر چه حداقل در این مرحله چندان فعال نیست اما خانواده جدیدی از باج افزارهاست که زیر نظر داشتن آن ضروری به نظر می‌رسد.

نشانه آلودگی (IoC):
a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4
منبع:
(با سپاس از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.