خانه / باج افزار / تحلیل باج‌افزار SHC

تحلیل باج‌افزار SHC

با مشاهده و رصد فضای سایبری، نمونه بارز و جالب توجهی به نام‌ SHC مشاهده گردیده است. از آنجایی‌که فایل‌ اجرایی این باج‌افزار به صورت کاملاً رایگان و اصطلاحاً منبع باز می باشد، بنابراین امکان سفارشی‌سازی و ایجاد باج‌افزاری بسیار خطرناک‌تر وجود دارد. گروه امنیتی Bug7sec این باج‌افزار تحت وب را صرفاً جهت اهداف آموزشی در سایت گیت هاب قرار داده و نسبت به استفاده ناصحیح از این ابزار سلب مسئولیت نموده‌ است. وجود مخزن Ransomware در صفحه گیت هاب این گروه و همچنین دو دایرکتوری با نام های v1 و v2، نشان دهنده توالی این باج‌افزار بوده که با این حساب، SHC نسخه اول و Ronggolawe نسخه دوم می‌باشد. لازم به ذکر است که نام گذاری این دو باج‌افزار توسط خود نویسنده باج‌افزار صورت گرفته است. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

بررسی ها نشان می دهد گروه امنیتی Bug7sec مستقر در جاکارتا در کشور اندونزی بوده که با توجه امضای موجود در کد باج افزار، سازنده این باج‌افزار یکی از اعضای این تیم با نام مستعار Shor7cut می‌باشد.

با توجه به اینکه این باج‌افزار به زبان برنامه نویسی PHP نوشته شده است، برای اجرا و بررسی عملکرد آن‌ از وب سرور محلی XAMPP در محیط آزمایشگاهی استفاده شده است. تصویر زیر صفحه اصلی باج‌افزار SHC را نشان می دهد که در برخی وب سایت ها تحت عنوان JapanLocker نیز شناخته می‌شود. این باج‌افزار فقط آدرس دایرکتوری را دریافت کرده و با دو حالت “Locked” و “UnLocked” امکان رمز گذاری و رمزگشایی فایل‌ها را مهیا می کند. گزینه Save Mode برای ذخیره فایل اجرایی باج‌افزار، پس از ایجاد آلودگی، در دایرکتوری جاری است.

بر اساس نتایج بدست آمده، مهاجم پس از کلیک بر روی دکمه Boom! فرمان آغاز حمله را به باج‌افزار می‌دهد. عبارت کوتاهی در ابتدای همه فایل‌ها و عبارت طولانی‌تری با مضمون اعلان قفل شدن سایت به قربانی قرار گرفته و در بین ابتدا و انتهای فایل، محتویات فایل با الگوریتم رمزگذاری base64 مورد استفاده در کد این باج‌افزار، رمز می گردد. بررسی ها نشان می دهد که این باج‌افزار از کدگذاری ROT13 و top-bottom swapping نیز استفاده می‌نماید.

نتایج حاصل از تحلیل ها نشان می‌دهد، در ابتدای کد این باج‌افزار، امضایی توسط نویسنده این باج‌افزار قابل مشاهده است که تاریخ آن به ۲۴ اردیبهشت ۹۶ باز می‌گردد.

در خلال تحلیل ها دریافتیم که صرفاً پسوند فایل مد نظر نیست. به عبارت دیگر لیست سفید باج افزار مورد اشاره، فایل‌هایی هستند که کاراکترهای انتهایی آن‌ها به .png و .svg و .woff و .jpg و .htaccess و lol.php ختم شود.

اما نکته جالب توجه دیگر این است که پس از صدور فرمان رمزگشایی، تمام محتویات رمزشده فایل‌ها نیز حذف می شوند و حجم همه آنها به صفر کیلوبایت می‌رسد.

دو روش زیر به ترتیب مربوط به روش های رمزگذاری و رمزگشایی است که در آنها توابع رمزگذاری و رمزگشایی قابل مشاهده است.

 

 

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.