کاربران و سازمان‌های ایرانی هدف باج‌فزار مخرب Phobos

۱۴ مهر ۱۳۹۸ | ۱۴:۴۵ کد : ۹۶۲۷ اخبار حوزه امنیت فناوری اطلاعات
تعداد بازدید:۹۶۰
در روزهای اخیر گزارش‌های متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به نسخه‌های جدید باج‌افزار Phobos واصل شده است.

Phobosکه نخستین نسخه آن در اواخر سال ۱۳۹۷ شناسایی شد، همچنان سهم قابل‌توجهی از آلودگی‌ها را به خود اختصاص داده است.
کد نویسی و عملکرد Phobos از جهات بسیاری مشابه باج‌افزار معروف Dharma – که با نام CrySis نیز شناخته می‌شود – است.
اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف و اجرای فایل مخرب باج‌افزار، اصلی‌ترین روش انتشار Phobos است. هر چند که نمونه‌هایی از Phobos نیز از طریق هرزنامه‌های ناقل فایل / لینک مخرب یا با بهره‌جویی (Exploiting) از آسیب پذیری‌های امنیتی منتشر شده‌اند.
محل ذخیره‌سازی فایل مخرب این باج‌افزار %AppData% یا %LocalAppData% است.
Phobos برای ماندگاری طولانی‌تر، علاوه بر نگهداری نسخه‌ای از خود در پوشه Startup اقدام به ایجاد کلیدهایی نیز در محضرخانه (Registry) سیستم عامل می‌کند.
پیش از آغاز رمزگذاری، باج‌افزار، پروسه‌های زیر را متوقف می‌کند:


msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe


هدف از انجام این کار فراهم شدن امکان رمزگذاری فایل‌های مورد استفاده این پروسه‌ها ست.
Phobos به فایل‌های رمزگذاری شده، پسوندی با قالب زیر الصاق می‌کند:


id[random numbers].[email].extension


در قالب مذکور، قسمت extension یکی از کلمات زیر می‌تواند باشد:


acute, actin, Acton, actor, Acuff, Acuna, acute, adage, Adair, Adame, banhu, banjo, Banks, Banta, Barak, Caleb, Cales, Caley, calix, Calle, Calum, Calvo, deuce, Dever, devil, Devoe, Devon, Devos, dewar, eight, eject, eking, Elbie, elbow, elderphobos, help, blend, bqux, com, mamba, KARLOS, DDoS, phoenix, PLUT, karma, bbc, CAPITAL


برای مثال، در یکی از جدیدترین نمونه‌های این باج‌افزار در ایران، عبارت زیر به هر فایل رمزگذاری شده چسبانده می‌شود:


id[5ED##A##-####].[eccentric_inventor@aol.com].adage


از دیگر ایمیل‌های استفاده شده توسط مهاجمان Phobos می‌توان به موارد زیر اشاره کرد:


Bad_boy700@aol.com
barcelona_100@aol.com
beltoro905073@aol.com
Cadillac.407@aol.com
datadecryption@countermail.com
decryptyourdata@qq
elizabethz7cu1jones@aol.com
Everest_2010@aol.com
FobosAmerika@protonmail.ch
gabbiemciveen@aol.com
Gomer_simpson2@aol.com
greg.philipson@aol.com
helpyourdata@qq.com
Job2019@tutanota.com
luciolussenhoff@aol.com
meachemvasili@aol.com
ofizducwell1988@aol.com
paper_plane1@aol.com
Raphaeldupon@aol.com
recover_actin@qq.com
returnmefiles@aol.com
simonsbarth@aol.com
waitheisenberg@xmpp.jp
walletwix@aol.com
wewillhelpyou@qq.com


اطلاعیه باج‌گیری (Ransom Note) در قالب دو فایل – با پسوند txt و hta – به کاربر ارائه می‌شود؛ فایل با پسوند hta پس از اتمام فرایند رمزگذاری در قالب یک پنجره بالاپر (Popup) که نمونه‌ای از آن در تصویر زیر قابل مشاهده است ظاهر می‌گردد.
Phobos فایل‌های با هر یک از پسوندهای زیر را بر روی کلیه درایوهای محلی و شبکه‌ای (Mapped) و حافظه‌های جداشدنی متصل به دستگاه مورد دست‌درازی قرار می‌دهد:


.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt


این باج‌افزار ضمن صرف‌نظر کردن از رمزگذاری کلیه فایل‌های ذخیره شده در پوشه Windows و زیر پوشه‌های آن از دست‌درازی به فایل‌های با هر یک از پسوندهای زیر خودداری می‌کند:


1cd, 3ds, 3fr, 3g2, 3gp, 7z, accda, accdb, accdc, accde, accdt, accdw, adb, adp, ai, ai3, ai4, ai5, ai6, ai7, ai8, anim, arw, as, asa, asc, ascx, asm, asmx, asp, aspx, asr, asx, avi, avs, backup, bak, bay, bd, bin, bmp, bz2, c, cdr, cer, cf, cfc, cfm, cfml, cfu, chm, cin, class, clx, config, cpp, cr2, crt, crw, cs, css, csv, cub, dae, dat, db, dbf, dbx, dc3, dcm, dcr, der, dib, dic, dif, divx, djvu, dng, doc, docm, docx, dot, dotm, dotx, dpx, dqy, dsn, dt, dtd, dwg, dwt, dx, dxf, edml, efd, elf, emf, emz, epf, eps, epsf, epsp, erf, exr, f4v, fido, flm, flv, frm, fxg, geo, gif, grs, gz, h, hdr, hpp, hta, htc, htm, html, icb, ics, iff, inc, indd, ini, iqy, j2c, j2k, java, jp2, jpc, jpe, jpeg, jpf, jpg, jpx, js, jsf, json, jsp, kdc, kmz, kwm, lasso, lbi, lgf, lgp, log, m1v, m4a, m4v, max, md, mda, mdb, mde, mdf, mdw, mef, mft, mfw, mht, mhtml, mka, mkidx, mkv, mos, mov, mp3, mp4, mpeg, mpg, mpv, mrw, msg, mxl, myd, myi, nef, nrw, obj, odb, odc, odm, odp, ods, oft, one, onepkg, onetoc2, opt, oqy, orf, p12, p7b, p7c, pam, pbm, pct, pcx, pdd, pdf, pdp, pef, pem, pff, pfm, pfx, pgm, php, php3, php4, php5, phtml, pict, pl, pls, pm, png, pnm, pot, potm, potx, ppa, ppam, ppm, pps, ppsm, ppt, pptm, pptx, prn, ps, psb, psd, pst, ptx, pub, pwm, pxr, py, qt, r3d, raf, rar, raw, rdf, rgbe, rle, rqy, rss, rtf, rw2, rwl, safe, sct, sdpx, shtm, shtml, slk, sln, sql, sr2, srf, srw, ssi, st, stm, svg, svgz, swf, tab, tar, tbb, tbi, tbk, tdi, tga, thmx, tif, tiff, tld, torrent, tpl, txt, u3d, udl, uxdc, vb, vbs, vcs, vda, vdr, vdw, vdx, vrp, vsd, vss, vst, vsw, vsx, vtm, vtml, vtx , wb2, wav, wbm, wbmp, wim, wmf, wml, wmv, wpd, wps, x3f, xl, xla, xlam, xlk, xlm, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xlw, xml, xps, xsd, xsf, xsl, xslt, xsn, xtp, xtp2, xyze, xz, zip


همچنین Phobos با اجرای فرامین زیر اقدام به حذف Shadow، غیرفعال کردن امکان راه‌اندازی سیستم در یکی از حالات موسوم به Recovery، حذف نسخه پشتیبان Catalog و متوقف نمودن دیواره آتش می‌کند:


vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable


همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند این بدافزارهای مخرب توصیه می‌شود.
توضیح اینکه نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:


McAfee:
– Ransom-Phobos!C9E480CC558A
 

منبع خبر:شبکه گستر


( ۲ )

نظر شما :

توجه! لطفا دیدگاه خود پیرامون این مطلب را در این قسمت درج نمایید و برای ارسال سایر درخواست ها و پیام ها به بخش تماس با ما مراجعه فرمایید.

علی قره چائی ۱۷ مهر ۱۳۹۸ | ۲۱:۵۶
متاسفانه ما به این باج افزار آلوده شدیم و سرور های مالی و ماشین های مجازیمون آلوده شده و حتی روی nas linux همه که ۱۶ترابایت ظرفیت داشت پخش شده ولی بوسیله raid 5 و اینکه روی nas linux سیستم عاملی وجود نداره تونستیم برگردونیم و به اجبار مجبور به حذف ماشین های آلوده و استفاده از بکاپ های آفلاین روی هاردهای اکسترنال شدیم و به کمکمون اومد.