خانه / باج افزار / تحلیل باج افزار Ranion

تحلیل باج افزار Ranion

مشاهدات اخیر حاکی از آن است که باج‌افزاری با نام مستعار Document.exe ، در پوشش فایل PDF توسط افرادی ناشناس که خود را “هکر” معرفی کرده‌اند در کانال‌های تلگرامی در حال انتشار است. بررسی ها نشان می دهد فایل مورد اشاره که آیکنی کاملاً شبیه به نرم‌افزار Adobe Reader دارد (احتمالاً مهاجم از این حربه برای گمراهی قربانی استفاده می‌کند) نسخه ۱.۰۸ از باج‌افزار معروف Ranion می‌باشد که از نوع بسیار خطرناک (RaaS (Ransomware-as-a-Service می‌باشد. در ادامه خلاصه‌ای از تحلیل نسخه جدید این باج‌افزار را مشاهده می‌کنید.

باج‌افزار Ranion 1.08 پس از اجرا در سیستم قربانی ابتدا با ارسال درخواست به دامنه http://checkip.dyndns.org ، آدرس IP سیستم مورد نظر را بدست می‌آورد. با اینکار مهاجم علاوه بر چک کردن برقراری ارتباط اینترنتی سیستم قربانی، احتمالاً سعی دارد موقعیت مکانی سیستم هدف را نیز کشف نماید.

پس از اجرای موفقیت آمیز باج‌افزار، فایلی با نام README_TO_DECRYPT_FILES.html که حاوی پیغام باج‌خواهی می باشد بر روی دسکتاپ سیستم قربانی قرار می‌گیرد. سپس فایل اجرایی باج‌افزار به حالت مخفی در می‌آید.

بررسی ترافیک شبکه باج‌افزار Ranion در آزمایشگاه تحلیل باج‌افزار این مرکز نشان می دهد، باج‌افزار مورد اشاره در آدرس http://nymypfq77t2gpuep.onion.link به شیوه RaaS در حال انتشار می‌باشد.

با مراجعه به آدرس فوق در دارک وب، مشاهده میگردد مهاجم اذعان نموده محصول خود را برای اهداف آموزشی نوشته است. همانند نسخه قبل، با صفحه‌ای روبرور می شویم که در آن مهاجم برای فروش باج‌افزار خود امکاناتی نظیر داشبورد C & C غیرقابل ردگیری بر بستر دارک وب قرار داده است. همچنین مهاجم چهار نوع پکیج با قیمت‌ها و ویژگی‌های مختلف ارائه کرده است. بنابراین می‌توان اینگونه برداشت نمود که نمونه فایل‌های اجرایی نیز احتمالاً رفتارها و ویژگی‌های متفاوتی خواهند داشت.

مهاجم مدعی است در ازای دریافت ۹۹۹ دلار امریکا (معادل بیت کوین) فایل‌های سیستم قربانی را رمزگشایی خواهد نمود. ضمناً در صورتی که این مبلغ طی ۷ روز برای مهاجم ارسال نگردد کلید رمزگشایی از سیستم مهاجم حذف خواهد شد. کانال ارتباطی قربانی با مهاجم نیز که از طریق آدرس ایمیل 0dayservice@gmail.com می باشد در پیغام باج خواهی قابل مشاهده است. اما نکته قابل توجه این است که مهاجم این پیغام را در ۸ زبان (اسپانیایی – انگلیسی – فارسی – روسی – فرانسوی – آلمانی – ایتالیایی – هلندی) ارائه نموده است که زبان فارسی نیز در این میان به چشم می‌خورد. بنابراین احتمالاً جامعه هدف این باج‌افزار، مردم کشورهایی با این زبان‌ها خواهند بود.

پس از این مرحله باج‌افزار مورد اشاره شروع به رمزگذاری فایل‌ها کرده و به انتهای فایل‌های رمزگذاری شده پسوند “.Ransom” اضافه می کند. الگوی خاصی در رمزگذاری فایل‌ها مشاهده نگردید. به نظر می‌رسد باج‌افزار مذکور فایل‌های صوتی – تصویری و فایل‌های فشرده با پسوند ۷z را رمزگذاری نمی‌کند. الگوریتم رمزنگاری این باج‌افزار، همانند نسخه‌های پیشین، AES-256 می‌باشد.

تصویر زیر نمونه‌ای از این پیغام باج‌خواهی به زبان فارسی را نشان می‌دهد.

ارتباطات شبکه:

لیست کامل IP های درخواست شده توسط باج‌افزار  Ranion 1.08 به شرح زیر می‌باشد :

 

کشور

آدرس IP

دامنه

امریکا

۲۱۶.۱۴۶.۳۸.۷۰ http://checkip.dyndns.org/

رومانی

۱۸۵.۱۰۰.۸۵.۱۵۰

سرویس Tor2Web

سنگاپور

۱۰۳.۱۹۸.۰.۲

http://onion.link/

روسیه ۸۷.۲۴۲.۱۲۳.۱۵۰

http://uploads.ru/

مشخصات فایل اجرایی :

 

نام فایل documents.exe
اندازه (۲۷۵KiB (281088 bytes
Sha-1 ce6eec161b274b4535502b931c33deff3364244b
Sha-256 ۹۸f16b75d1c9e3c8914b10de4b6286397285d226785b42766847b35558ee0dc7
MD5 eca948ea4dec7a9237605658e516baa6
کامپایلر Microsoft visual C# v7.0 / Basic .NET

 

 

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.