خانه / باج افزار / تحلیل باج افزار Zenis

تحلیل باج افزار Zenis

رصد فضای سایبری در حوزه باج‌افزار، از ظهور باج‌افزار جدیدی به نام Zenis در اوایل ماه مارس سال ۲۰۱۸ میلادی خبر می­‌دهد. مشاهدات اولیه حاکی از آن است که این باج‌افزار از خانواده­ باج‌افزار BlackRuby می­‌باشد. روش انتشار این باج‌افزار در حال حاضر دقیقا مشخص نیست. اما برخی از کارشناسان بر این باورند که در حال حاضر از طریق نفوذ به سیستم ریموت دسکتاپ می­‌تواند گسترش یابد. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

نتایج حاصل از بررسی ها نشان می دهد باج‌افزار Zenis علاوه بر این­که فایل­‌های موجود در درایوها را با استفاد از الگوریتم‌­های رمزنگاری AES و RSA، رمزگذاری می­‌کند، فایل­‌های پشتیبان سیستم را نیز حذف می­‌کند و پس از پایان فرایند رمزنگاری و حذف فایل­‌های پشتیبان، پیغام باج‌­خواهی خود را با فرمت HTML که Zenis-Instructions.html نام دارد در کنار فایل­‌های آلوده ایجاد می­‌کند که کاربر می‌­تواند آن را اجرا کند و پیغام باج‌­خواهی را مشاهده نماید. همچنین پس از اتمام فرایند رمزگذاری، فایل اجرایی باج‌افزار از بین می‌­رود و تصویر زمینه نیز تغییری پیدا نمی­‌کند.

در زیر شاهد پسوند فایل‌­هایی هستیم که پس از بررسی‌­های ما باج ­افزار مورد نظر آن­ها را با موفقیت رمزگذاری کرده است. باج‌افزار Zenis از الگوی [Zenis-[2 random chars].[12 random chars.  برای تغییر فرمت نام­گذاری تمامی فایل‌های رمزگذاری شده استفاده می­‌کند، به طور مثال فایل ‘example.txt’ پس از رمزگذاری به شکل ‘Zenis-4V.4V7sb2JRmLNs.’ تغییر پیدا می­‌کند.

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

پیغام باج­‌خواهی باج افزار Zenis به صورت زیر می­‌باشد:

 

مهاجم در فایل پیغام باج‌خواهی، از قربانی می­خواهد فایل پیغام باج­‌خواهی را به همراه یکی از فایل­‌های رمزگذاری شده­‌اش که کمتر از ۲ مگابایت حجم دارد به ایمیل وی ارسال نماید. پس از رمزگشایی فایل توسط مهاجم، آن را برای قربانی ارسال می­‌کند تا از رمزگشایی فایل­‌ها اطمینان پیدا کند.

باج‌افزار Zenis پس از نفوذ موفقیت‌­آمیز به سیستم قربانی و قبل از شروع فرایند رمزگذاری دو بررسی زیر را انجام می­‌دهد که اگر نتیجه­‌ی آن­ها مثبت بود باج‌افزار در سیستم اجرا می­‌شود و در غیر این صورت فرایند را خاتمه می­‌دهد.

  • بررسی اینکه نام فایل اجرایی iis_agent32.exe است یا خیر. (این بررسی حساس نیست.)
  • بررسی اینکه رجیستری فعال است یا خیر و بررسی اینکه مقدار آن ‘HKEY_CURRENT_USER\SOFTWARE\ZENISSERVICE’ باشد.

اگر مقدار رجیستری وجود نداشته باشد و یا نام فایل اجرایی iis_agent32.exe نباشد، فرآیند خاتمه خواهد یافت و کامپیوتر را رمزگذاری نخواهد کرد.

حال اگر نتیجه بررسی صحیح باشد، باج‌‌افزار فعالیت خود را آغاز می‌­کند و پیغام باج‌خواهی را با اطلاعاتی همانند ایمیل و داده­‌های رمز شده کامل می­‌کند.

هنگام جستجو برای رمزگذاری فایل­‌ها، اگر فایل­‌های مرتبط با فایل­‌های پشتیبان را در سیستم پیدا کند، آن­ها را سه بار مجددا بازنویسی می­‌کند و سپس آن­ها را حذف می­‌کند.

فهرست پسوندهایی که برای حذف انتخاب می­‌شوند عبارتند از:

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

 

مشخصات فایل اجرایی:

نام فایل Zenis.exe, IIS_Agent32.exe
اندازه (۱۴۵KiB (147968 bytes
SHA-1 ۱۲۸a74c415ae00eea8eca6ba110e4857ac75f044
SHA-256 ۹۷۳۰e03ca9d052875895b4ad7ba7914f69009fd5fb58d324ee35d3e45f90d768
MD5 ۸cd8d46cd6c7e336d2baa2f78d8d0ab4
کامپایلر Microsoft visual C# v7.0 / Basic .NET

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.