چگونه سیستم شما به باج‌افزار WCry آلوده می‌شود؟

Skip Navigation Links

در حال حاضر WCry در درجه اول از طریق خلاء امنیتی که اخیراً توسط تیم هکری Shadow broker در سازمان امنیت ملی آمریکا (National Security Agency) شناسایی شده شیوع می‌یابد. به طور خاص نیز محقق فرانسوی Kaffine به عنوان اولین شناسایی متوجه شد که WCry از طریق خلاء امنیتی EternalBluee گسترش میابد.

خلاء امنیتی EternalBlue یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت است که به هکر اجازه کنترل سیستم را در موارد زیر می‌دهد:


  • پروتکل SMBv1 را فعال می‌کند،
  • و سیستم از طریق اینترنت در دسترس می‌باشد،
  • و در آخرین بروز رسانی امنیتی میکروسافت به نام MS17-010 fix که در فروردین ماه 1396 (March 2017) منتشر  شد، رفع نشده است.



همچنین به نظر می‌رسد که طراحان این مخرب از یک backdoor موسوم به DOUBLESPEAR که معمولاً از طریق خلاء ETERNALBLUE نصب می‌شود، سود جسته‌اند و مصرانه در سیستم باقی می‌مانند. بنابراین اگر سیستم شما قبلاً از طریق خلاء امنیتی ETERNALBLUE در معرض خطر قرار گرفته، ممکن است هنوز آسیب پذیر باشد، حتی اگر معضل پروتکل SMBv1 مایکروسافت برطرف شده باشد.

خود فایل اجرایی این باج‌افزار را به بهترین شکل می‌توان یه یک قطره چکان توصیف کرد، که تمام بخش‌های مختلف باج‌افزارهای دیگر را در قالب یک فایل فشرده شده‌ی رمزدار درون خود جای داده است. پس از اجرا، شروع به باز کردن فایل‌های فشرده‌ی هر بخش در پوشه‌ای که توسط رمزعبور "WNcry@2ol7" و بسیار پیچیده کُد شده است، می‌نماید. یک بازرسی دقیق‌تر از فایل فشرده فایل‌های زیر را نمایش می‌دهد:
 


  • b.wnry - تصویر دسکتاپ مربوط به باج‌افزار
  • c.wnry - فایل پیکربندی شامل آدرس سرور C2، کیف‌پول بیت‌کوین و ...
  • r.wnry - پیغام باج‌خواهانه
  • s.wnry - فایل فشرده شامل TOR کلاینت
  • t.wnry - بخش رمزگذاری باج‌افزار که با استفاده از فرمت مخصوص WanaCry رمزنگاری شده است؛ که امکان  رمزگشایی آن توسط کلید اختصاصی که در فایل اجرایی باج‌افزار جاسازی شده، ممکن است.
  • u.wnry - فایل اجرایی رمزگشا
  • Taskdl.exe - تمام فایل‌های موقتی که در فرآیند رمزگذاری ایجاد شده‌اند را پاکسازی می‌کند (WNCRYT.)
  • Taskse.exe - برنامه باج‌افزار را در تمام جلسات فعال (Sessions) کاربر اجرا می‌کند.
  • msg\* - فایل‌های مربوط به زبان (در حال حاضر 28 زبان مختلف)

علاوه بر موارد ذکر شده باج‌افزار فایهای اضافی دیگری نیز تولید می‌کند:

  • 00000000.eky - کلید رمزگشایی برای فایل t.wnry که فایل اصلی رمزگذاری باج‌افزار را نگهداری می‌کند. این فایل توسط یک کلید عمومی رمزگذاری شده که متعلق به یک کلید خصوصی است که درون باج‌افزار جاسازی (Embeddedd) شده است.
  • 00000000.pky - کلید عمومی که توسط باج‌افزار برای رمزگذاری کلیدهای AES استفاده می‌شود که فایل‌های کاربر  را رمزگذاری می‌کند.
  • 00000000.res - نتایج ارتباطات C2



لیستی از تمام تغییراتی که توسط باج‌افزار به سیستم قربانی اعمال شده است.


کلید های رجیستری:

  • HKLM\SOFTWARE\WanaCrypt0r
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
  • HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”

 


فایل های سیستم:

  • @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
  • @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
  • %DESKTOP%\@WanaDecryptor@.bmp
  • %DESKTOP%\@WanaDecryptor@.exe
  • %APPDATA%\tor\cached-certs
  • %APPDATA%\tor\cached-microdesc-consensus
  • %APPDATA%\tor\cached-microdescs.new
  • %APPDATA%\tor\lock
  • %APPDATA%\tor\state
  • <ransomware directory>\00000000.eky
  • <ransomware directory>\00000000.pky
  • <ransomware directory>\00000000.res
  • <ransomware directory>\@WanaDecryptor@.bmp
  • <ransomware directory>\@WanaDecryptor@.exe
  • <ransomware directory>\b.wnry
  • <ransomware directory>\c.wnry
  • <ransomware directory>\f.wnry
  • <ransomware directory>\msg\m_bulgarian.wnry
  • <ransomware directory>\msg\m_chinese (simplified).wnry
  • <ransomware directory>\msg\m_chinese (traditional).wnry
  • <ransomware directory>\msg\m_croatian.wnry
  • <ransomware directory>\msg\m_czech.wnry
  • <ransomware directory>\msg\m_danish.wnry
  • <ransomware directory>\msg\m_dutch.wnry
  • <ransomware directory>\msg\m_english.wnry
  • <ransomware directory>\msg\m_filipino.wnry
  • <ransomware directory>\msg\m_finnish.wnry
  • <ransomware directory>\msg\m_french.wnry
  • <ransomware directory>\msg\m_german.wnry
  • <ransomware directory>\msg\m_greek.wnry
  • <ransomware directory>\msg\m_indonesian.wnry
  • <ransomware directory>\msg\m_italian.wnry
  • <ransomware directory>\msg\m_japanese.wnry
  • <ransomware directory>\msg\m_korean.wnry
  • <ransomware directory>\msg\m_latvian.wnry
  • <ransomware directory>\msg\m_norwegian.wnry
  • <ransomware directory>\msg\m_polish.wnry
  • <ransomware directory>\msg\m_portuguese.wnry
  • <ransomware directory>\msg\m_romanian.wnry
  • <ransomware directory>\msg\m_russian.wnry
  • <ransomware directory>\msg\m_slovak.wnry
  • <ransomware directory>\msg\m_spanish.wnry
  • <ransomware directory>\msg\m_swedish.wnry
  • <ransomware directory>\msg\m_turkish.wnry
  • <ransomware directory>\msg\m_vietnamese.wnry
  • <ransomware directory>\r.wnry
  • <ransomware directory>\s.wnry
  • <ransomware directory>\t.wnry
  • <ransomware directory>\TaskData\Tor\libeay32.dll
  • <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
  • <ransomware directory>\TaskData\Tor\libssp-0.dll
  • <ransomware directory>\TaskData\Tor\ssleay32.dll
  • <ransomware directory>\TaskData\Tor\taskhsvc.exe
  • <ransomware directory>\TaskData\Tor\tor.exe
  • <ransomware directory>\TaskData\Tor\zlib1.dll
  • <ransomware directory>\taskdl.exe
  • <ransomware directory>\taskse.exe
  • <ransomware directory>\u.wnry
  • C:\@WanaDecryptor@.exe





منبع: emsisoft




WCry باج‌افزار


مطالب مرتبط


نظرات


نظرات کاربران درباره  

چگونه سیستم شما به باج‌افزار WCry آلوده می‌شود؟


تعداد نظرات 0



ثبت نظر


نام  
ایمیل  
دیدگاه  
 

در حال بارگیری ...

شرکت مهندسی آیتک


وب سایت شرکتی | وب سایت فروشگاهی
وب سایت شخصی
وب سایت سازمانی | وب سایت خبری