خانه / باج افزار / تحلیل باج افزار BansomQare Manna

تحلیل باج افزار BansomQare Manna

رصد فضای سایبری در حوزه باج‌افزار، از ظهور نمونه جدیدی به نام BansomQare Manna در نیمه‌ی دوم ماه مارس سال ۲۰۱۸ میلادی خبر می‌دهد. پیغام باج‌خواهی باج‌افزار BansomQare Manna از لحاظ ظاهری مشابه پیغام باج‌خواهی باج‌افزار WannaCry و آیکن فایل اجرایی آن نیز شبیه به آیکن پیام‌رسان WhatsApp می‌باشد. برخلاف انتظار و خیلی زودتر از آنچه که تصور می‌شد رمزگشای این باج‌افزار توسط شرکت ۳۶۰totalsecurity ارائه گردید. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

باج‌افزار BansomQare Manna تنها فایل‌های موجود در درایو ویندوز را با استفاده از الگوریتم‌های رمزنگاریAES / RSA ، رمزگذاری کرده و دو فایل را در کنار فایل‌های رمزگذاری شده قرار می‌دهد. یکی از این فایل‌ها که به صورت متنی و با پسوند TXT است شامل مقدار باج درخواستی، آدرس کیف پول بیت‌کوین و آدرس ایمیل جهت برقراری ارتباط با مهاجم به نشانی MildredRLewis@teleworm.us می‌باشد که طبق متن موجود در این فایل، قربانی می‌بایست معادل ۱۰۰ دلار را در واحد پول بیت‌کوین به آدرسی که مهاجم قرار داده‌ ارسال نماید.

بر اساس پیغام باج‌خواهی، باج‌افزار BansomQare Manna، انواع فایل‌ها شامل اسناد، تصاویر، فایل‌های ویدئویی و پایگاه داده‌ها را رمزگذاری می کند. آزمایشات ما بر روی این باج‌افزار نشان داد که باج‌افزار مذکور می‌تواند فایل‌هایی با پسوندهای زیر را رمزگذاری کند. پس از اتمام فرآیند رمزگذاری، به انتهای فایل‌های رمزگذاری شده پسوند “.bitcoin” اضافه می‌شود.

.avi, .bmp, .dat, .exe, .gif, .html, .ini, .jpg, .mp3, .pdf, .rar, .xml , .docx, .mov, .mp4, .pdf

در همان ابتدای اجرای باج‌افزار، پیغام باج‌خواهی زیر نمایش داده می‌شود :

در پیغام باج‌خواهی، مهاجم مدعی است هرگونه سعی و تلاش در جهت رمزگشایی فایل‌ها بی فایده است و مهاجم به قربانی این اطمینان را می‌دهد که توانایی بازگردانی فایل‌ها را داشته و برای جلب اعتماد قربانی به وی فرصت رمزگشایی برخی از فایل‌ها را داده است. در انتهای پیغام باج‌خواهی مبلغ پرداختی باج به همراه آدرس کیف پول بیت‌کوین مشخص شده است. هیچ گونه مهلت زمانی برای پرداخت مبلغ باج در نظر گرفته نشده و زمانی که در پیغام باج‌خواهی قابل مشاهده است، مربوط به ساعت سیستم قربانی می‌باشد.

پس از اتمام فرآیند رمزگذاری و در صورت راه اندازی مجدد رایانه، تصویر زمینه سیستم قربانی به رنگ مشکی تغییر کرده و یک فایل متنی حاوی مبلغ باج، آدرس کیف پول بیت‌کوین و یک آدرس ایمیل برای برقراری ارتباط با مهاجمان، به قربانی نشان داده می‌شود.

 

مشخصات فایل اجرایی:

نام فایل whatsapp.exe
اندازه (۶۵۹KiB (674816 bytes
SHA-1 ۶۷e5d5a48e3dfbb9a620baf0b46d245c607dccb1
SHA-256 fbe54141fb79aa5f69a99f107155ad995494f5ce5e70279aa45fca6b5856bc4e
MD5 ۶d0fefdd39ad1c289e15eac8cb2d9394
کامپایلر Microsoft visual C# v7.0 / Basic .NET

 

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.