کمپین گسترده باج‌افزار scarab با استفاده از بات‌نت Necrus

ارسال 12.5 میلیون ایمیل آلوده در 6 ساعت توسط کمپین گسترده باج‌افزار Scarab با استفاده از بات‌نت Necrus

شرکت Forcepoint در آخرین مطلب سایت خود در‌خصوص شروع فعالیت کمپین گسترده ارسال هرزنامه‌های حاوی باج‌افزار scarab هشدار داده و اعلام کرده‌ است که حدود ۱۲.۵ میلیون ایمیل فقط در ۶ ساعات نخست این حملات ارسال شده است. کمپین انتشار باج‌افزار scarab از تاریخ ۲۳ نوامبر کار خود را آغاز کرده و فایل‌ فشرده‌‌ای را به‌صورت پیوست در ایمیل‌های این کمپین به قربانیان خود ارسال می‌کند.

 


 

توضیحات اولیه

شرکت Forcepoint می‌گوید که این کمپین با بهره‌گیری از بات‌نت هرزنامه Necrus به‌سرعت در حال گسترش بوده و این نوع جدید از باج‌افزار را با سرعت ۲ میلیون ایمیل در ساعت توزیع می‌کند. بانت‌ Necrus که قبلا تروجان‌های بانکی Dridex و Trickbot، باج‌افزار Locky و باج‌افزار Jaff را توزیع می‌کرد، اکنون شروع به توزیع نسخه‌ی جدیدی از باج‌افزار Scarab کرده است. باج‌افزار Scarab پیش‌تر به شکل دیگری منتشر شده بود. به‌ گفته‌ی محققان، بات‌نت Necurs یکی از برجسته‌ترین ارائه‌کنندگان هرزنامه (Spam) با پنج تا شش میلیون میزبان آلوده ‌شده‌ی آنلاین ماهانه بوده و مسئول بزرگترین کمپین‌های اسپم بدافزاری است.

 


 

بررسی فنی

طبق بررسی‌های محققان روی دامنه‌های (TLDs) مورد هدف این کمپین، پس از com، دامنه‌های کشورهای آلمان، انگلیس، فرانسه و استرالیا بیشتر از سایرین تحت تاثیر این حملات قرار گرفته‌اند.

 

مهاجمان طی این حملات، ایمیل‌هایی را با عناوین جعلی با نام‌های Scanned from Lexmark یا Scanned from HP یا Scanned from Canon و Scanned from Epson به قربانیان خود ارسال می‌کنند. این ایمیل‌ها حاوی فایل فشرده‌ای با پسوند 7z هستند که درون آن یک فایل VBScript قرار دارد. 

 

فایل VBScript ارسالی، نقش دریافت‌کننده‌ (Downloader) فایل باج‌افزار scarab و وظیفه اجرای آن را برعهده دارد. نکته جالب درمورد کدهای VBScript استفاده شده در این حملات، نام برخی از شخصیت‌های سریال «بازی تاج و تخت» مانند Samwell و JohnSnow است!

 

فایل باج‌افزار scarab پس از اجرا بلافاصله در مسیر path: %Application Data%\sevnz.exe ذخیره می‌شود. همچنین برای تداوم کارکرد خود، کلید زیر را در ریجستری ویندوز ایجاد می‌کند. هدف از ایجاد این کلید اجرای فایل باج‌افزار پس از هر راه‌اندازی مجدد سیستم است.

Path: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Key: uSjBVNE = "%Application Data%\sevnz.exe

 

در نهایت پس از رمزگذاری اطلاعات، به انتهای پسوند فایل‌ها، عبارت «[email protected]].scarab].» را اضافه می‌کند. همچنین توضیحات خود را در فایلی با نام «IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT» در تمامی پوشه‌ها تکثیر می‌کند.

 

همچنین Scarab با اجرای فرامین زیر فایل‌های پشتیبان سیستم موسوم به Shadow Copy را حذف کرده و قابلیت بازگردانی از طریق سیستم عامل ویندوز را غیرفعال می‌کند:


cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

 


 

راه‌های پیشگیری

از آنجایی که باج‌افزار Scarab پیش‌ از شروع این کمپین شناسایی و بررسی شده بود، اغلب آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی، امکان شناسایی و پیشگیری از آن را دارا هستند. اما نکته مهم در این مورد این است که می‌بایست کاربرها از آنتی‌ویروس‌های به‌روز رسانی شده استفاده کنند.

لیست آنتی‌ویروس‌هایی که باج‌افزار Scarab را شناسایی می‌کنند

 

برای در امان ماندن از اینگونه حملات توصیه می‌شود از دریافت فایل‌های پیوست یا دانلود و اجرای فایل‌های ناشناخته اکیدا خودداری کنید. همچنین برای رفع آسیب‌پذیری‌ها سیستم‌عامل و سایر نرم‌افزارها، بهتر است به‌صورت دوره‌ای اصلاحیه‌های امنیتی و آپدیت‌ها را دریافت و نصب کنید.

تذکر: به‌خاطر تنوع و افزایش حملات باج‌افزاری، توصیه می‌شود از اطلاعات حساس و مهم حداقل به‌صورت هفتگی و ماهیانه نسخه پشتیبان تهیه کنید.