باج‌افزار ZCryptor

دوشنبه ۲۲ تیر ۱۳۹۴
sharif-cert, apa, باج افزار ZCryptor, مایکروسافت, AES-256 و RSA
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
در روز ۶ خرداد ۱۳۹۵ مایکروسافت در مورد باج افزار جدیدی موسوم به ZCryptor، که رفتاری مشابه کرم داشته و قادر است از طریق درایورهای جداشدنی و شبکه‌ای خود را نشر دهد، هشدار داد. این باج افزار تمامی نسخه‌های ویندوز را مورد هدف قرار داده است و از AES-256 و RSA برای رمزنگاری فایل‌های موجود روی این سیستم‌ها استفاده می‌کند. خطر این باج افزار و میزان تخریبی که دارد در سطح بحرانی‌ طبقه‌بندی شده و در عمل نیز این حمله انجام شده است. تاکنون راهی برای بازگرداندن فایل‌های رمز شده توسط zCryptor و رمزگشایی آن‌ها پیدا نشده و تنها راه برای این کار، پرداخت باج توسط قربانی است.

مقدمه

در روز ۶ خرداد ۱۳۹۵ مایکروسافت در مورد باج افزار جدیدی موسوم به ZCryptor، که رفتاری مشابه کرم داشته و قادر است از طریق درایورهای جداشدنی و شبکه‌ای خود را نشر دهد، هشدار داد . این باج افزار تمامی نسخه‌های ویندوز که شامل ویندوزXP، ویندوز Vista، ویندوز ۷، ویندوز ۸ و ویندوز ۱۰ می‌شود را مورد هدف قرار داده است و از AES-256 و RSA برای رمزنگاری فایل‌های موجود روی این سیستم‌ها استفاده می‌کند. کسپرسکی این باج افزار را با نام Trojan-Ransom.Win32.Crypren.acrj، مایکروسافت با نام Trojan:Win32/Dynamer!ac و آویرا با نام TR/Samca.qqhi شناسایی کرده و در پایگاه داده مربوط به ضدویروس خود قرار داده‌اند. همچنین خطر این باج افزار و میزان تخریبی که دارد نیز در سطح بحرانی‌ طبقه‌بندی شده و در عمل نیز این حمله انجام شده است. در ادامه، شیوه حمله، نحوه جلوگیری از آلودگی، چگونگی شناسایی سیستم آلوده و رفع آلودگی تشریح می‌شود.

شیوه حمله

فایل مخرب Ransom:Win32/ZCryptor.A از طریق هرزنامه برای قربانیان ارسال شده و از طریق بدافزار ماکرو یا به‌روزرسانی جدید برای برنامه فلش پلیر روی سیستم وی نصب می‌شود. فرآیند کامل حمله شامل گام‌های زیر می‌شود:
  • قربانی باج افزار را روی سیستم خود نصب می‌کند.
    • قربانی سندی آلوده مانند سند آفیس حاوی ماکروی مخرب را گشوده و ماکروی آن را اجرا می‌کند.

    • b. قربانی به‌روزرسانی جدیدی از برنامه فلش پلیر را نصب و اجرا می‌کند.
  • این باج افزار با یک کارگزار کنترل و فرمان نیز در ارتباط است تا از این طریق بتواند بات‌های آلوده را شناسایی کرده و کلیدهای رمزنگاری را نیز به سیستم قربانی تحویل دهد. در طول اجرای باج افزار و برقراری ارتباط با کارگزار کنترل و فرمان، پیغامی گیج کننده به کاربر نشان داده می‌شود که تا زمانی که بدافزار در حال اجرا است، روی صفحه باقی می‌ماند. این پیغام در شکل زیر نمایان است

  • پس از آنکه باج افزار روی سیستم نصب شد، کاری می‌کند که هنگام آغاز به کار کردن سیستم، باج افزار نیز اجرا گردد:
    • اضافه کردن کلید زیر به رجیستری
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • اضافه کردن فایل‌های زیر در پوشه %appdata%
      • cid.ztxt: شناسه یکتای کاربر
      • private.key: اشاره به کلیدی که در حال حاضر قابل دستیابی نیست.
      • public.key: اشاره به کلیدی که در حال حاضر قابل دستیابی نیست.
  • از آنجا که این باج افزار رفتاری مشابه کرم دارد، فایل Autorun.inf را در درایور جداشدنی قرار می‌دهد تا بتواند از این طریق کامپیوترهای دیگری را نیز آلوده سازد. برای این کار zycrypt.lnk در پوشه آغازین قرار می‌دهد.
    %User Startup%\zcrypt.lnk
  • پس از آن‌که باج افزار خود را به عنوان {Drive}:\system.exe و %appdata%\zcrypt.exe کپی کرد، خصوصیات فایل را به نحوی تغییر می‌دهد که از دید کاربر مخفی مانده و در مرورگر فایل1 نشان داده نشود.
  • پس از اجرا، باج افزار فایل‌های موجود با ۱۲۱ فرمت مختلف را رمز کرده و به نام فایل‌ها .zcrypt اضافه می‌کند. نمایی از فایل‌های رمز شده در شکل زیر قابل مشاهده است
  • باج افزار پس از پایان یافتن رمزنگاری فایل‌های Shadow Volume Copy را که می‌توان از طریق آن فایل‌ها را بازیابی کرد، حذف می‌نماید.
  • در آخر باج افزار پیغام مربوط به باج را روی صفحه قرار داده و مبلغ ۱٫۲ بیت کوین1 (معادل ۵۰۰ دلار) برای رمزگشایی فایل‌ها از قربانی درخواست می‌کند. این پیغام در شکل زیر قابل مشاهده است
مایی از مراحل انجام شده در شکل زیر نشان داده شده است
یکی از نشانه‌های سیستم آلوده، اجرا شدن zcrypt1.0 روی آن است که نشان می‌دهد در حال حاضر این باج افزار روی سیستم قربانی درحال اجرا است. علاوه بر این بر اساس مشاهدات انجام شده، باج افزار با URL زیر تماس برقرار می‌کرده است که در حال حاضر این دامنه خارج از دسترس است:
http://obfuscated/rsa/rsa.php?computerid={Computer_ID}

که مقدار {Computer_ID} با مقدار قرار داده شده در %AppData%\cid.ztxt برابر بوده است.

نحوه جلوگیری از آلودگی

برای جلوگیری از آلودگی توسط این باج افزار لازم است به توصیه‌های زیر عمل شود.
  • سیستم‌عامل ویندوز و ضدویروس نصب شده روی آن همواره به‌روزرسانی گردند.
  • به طور منظم از فایل‌های موجود روی سیستم نسخه پشتیبان تهیه گشته و روی یک درایور خارجی ذخیره گردد.
  • قابلیت تاریخچه فایل یا حفاظت از سیستم فعال گردد.
  • استفاده از فضاهای ابری مانند OneDrive for Business، که برای ذخیره اطلاعات استفاده می‌شوند.
  • ایمیل‌های مربوط به هرزنامه‌ها و ماحیگیری را باز نکرده و در مواجهه با پیوست‌های آلوده دقت شود.
  • قابلیت اجرای ماکرو در برنامه‌های آفیس غیرفعال شود.
  • حتی‌الامکان قابلیت دسترسی راه دور به کامپیوتر3 غیرفعال باشد.
  • از احراز هویت دوعاملی استفاده شود.
  • از ارتباطات اینترنتی امن استفاده گردد.
  • عدم مراجعه به وب‌سایت‌هایی که پیش‌زمینه انتشار بدافزار دارند (مانند وب‌سایت‌های مربوط به نرم‌افزارهای غیرقانونی یا دارای محتواهای غیراخلاقی).

نحوه شناسایی سیستم آلوده

درصورتی که سیستمی به این باج افزار آلوده گردد، در صفحه پس‌زمینه آن عکس How to decrypt files.png قرار می‌گیرد و به تمامی فایل‌ها پسوند .zCrypt افزوده می‌شود. علاوه بر این فایلی متنی به نام How to decrypt files.txt نیز روی دسکتاپ1 قربانی قرار داده می‌شود. در این دو فایل نحوه رمزگشایی فایل‌های رمز شده قرار داده شده است.

نحوه رفع آلودگی

تاکنون راهی برای بازگرداندن فایل‌های رمز شده توسط zCryptor و رمزگشایی آن‌ها پیدا نشده و تنها راه برای این کار، پرداخت باج توسط قربانی است [4]. درصورتی که فرد قصد پرداخت باج را نداشته باشد و فقط بخواهد آلودگی را برطرف سازد، لازم است قدم‌های زیر را انجام دهد [5] . لازم به ذکر است که ممکن است با انجام این اقدامات فایل‌های قربانی پاک شده و دیگر نتوان به آن‌ها دسترسی پیدا کرد.
  • پیش از انجام اسکن، کاربران ویندوزهای XP، Vista و 7 باید System Restore را غیرفعال کنند تا کامپیوتر به طور کامل اسکن شود.
  • کامپیوتر را خاموش و سپس در حالت Safe Mode بالا آورده شود.
  • مقادیر مربوط به رجیستری‌ها که در اثر این آلودگی تغییر کرده‌اند، حذف شود
    مقدار zcrypt از رجیستری زیر حذف گردد:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • فایل‌های مخربی که توسط RANSOM_ZCRYPT.A دانلود شده یا در سیستم قرارگرفته‌اند، حذف شوند.
  • گزینه نمایش فایل‌های مخفی فعال گردد و فایل‌های زیر از کامپیوتر پاک شوند:
    • %Application Data%\zcrypt.exe
    • %Application Data%\cid.ztxt
    • %Application Data%\public.key
    • %Application Data%\private.key
    • %Application Data%\btc.addr
    • %User Startup%\zcrypt.lnk
    • {Removable Drive Letter}:\autorun.inf
    • {Removable Drive Letter}:\System.exe
    • How to decrypt your files.html
  • سیستم خاموش و مجددا در حالت عادی بالا آورده شود. سپس لازم است کامپیوتر توسط ضدبدافزار اسکن گردد و درصورتی که فایلی از این باج افزار روی سیستم باقی مانده است، حذف گردد.
  • </ul>

    جمع‌بندی

    از آنجا که طیف گسترده‌ای از کاربران تحت تأثیر این حمله هستند، توصیه می‌شود آگاهی‌های لازم برای جلوگیری از آلودگی به این حملات داده شود، چرا که رمزگشایی فایل‌های رمز شده توسط این باج افزار، بدون پرداخت باج تاکنون ممکن نبوده است و راه‌حل‌های مربوط به رفع آلودگی نیز ممکن است منجر به حذف فایل‌ها گردد.

    منابع و مراجع

    [1] https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/ZCryptor.A
    [2] https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/?platform=hootsuite
    [3] http://malwarefor.me/zcrypt-ransomware/
    [4] https://malwaretips.com/blogs/remove-zcrypt-virus/
    [5] http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_zcrypt.a
    </div>