خانه / باج افزار / تحلیل باج افزار MoneroPay

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com (سرویسی برای ساخت و به اشتراک‌گذاری صفحات ساده وب) می‌باشد مشاهده گردید.

بررسی‌ها نشان می‌دهد این باج‌افزار از طریق پروتکل RDP با سوء‌‌استفاده از ضعف این پروتکل در پیکربندی نادرست وارد سیستم قربانی می‌شود. هرزنامه‌ها و پیوست ایمیل‌های آلوده نیز سهم به سزائی در انتشار این باج‌افزار دارند.

فایل اولیه باج‌افزار MoneroPay یک فایل پک شده متشکل از دو فایل اجرایی به نام‌های spritecoind.exe  و spritecoinwallet.exe و دو کتابخانه به نام‌های boost.dll و cryptonight.dll می‌باشد. تحلیل‌های آزمایشگاهی نشان می‌دهد فایل spritecoinwallet.exe پس از اجرا با تظاهر به دانلود فناوری Blockchain توجه قربانی را به خود جلب کرده که در همین حال فرآیند spritecoind.exe در پشت صحنه فایل‌های سیستم قربانی را رمزگذاری می‌کند.

باج‌افزار MoneroPay پس از رمزگذاری فایل‌های سیستم قربانی پسوند .encrypted را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند و فایل اجرایی باج‌افزار در مسیر  C:\Users\User\AppData\Local\Temp\Rar$EXa0.188\spritecoind.exe قرار می‌گیرد. در انتهای این فرآیند فایل اجرایی مربوطه متوقف می‌شود. پسوند فایل‌های هدف عبارتند از :

.txt, .doc, .docx, .xls, .index, .pdf, .zip, .rar, .css, .lnk, .xlsx, .ppt, .pptx, .odt, .jpg, .bmp, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .bk, .bat, .mp3, .mp4, .wav, .wma, .avi, .divx, .mkv, .mpeg, .wmv, .mov, .ogg, .java, .csv, .kdc, .dxg, .xlsm, .pps, .cpp, .odt, .php, .odc, .log, .exe, .cr2, .mpeg, .jpeg, .xqx, .dotx, .pps, .class, .jar, .psd, .pot, .cmd, .rtf, .csv, .php, .docm, .xlsm, .js, .wsf, .vbs, .ini, .jpeg, .gif, .7z, .dotx, .kdc, .odm, .xll, .xlt, .ps, .mpeg, .pem, .msg, .xls, .wav, .odp, .nef, .pmd, .r3d, .dll, .reg, .hwp, .7z, .p12, .pfx, .cs, .ico, .torrent, .c

بررسی‌ها نشان می‌دهد این باج‌افزار از الگوریتم رمزنگاری AES برای رمزگذاری فایل‌های سیستم قربانی بهره می‌گیرد.

براساس پیغام باج‌خواهی، این باج‌افزار برای رمزگشایی فایل‌های سیستم قربانی مبلغ ۰.۳ مونرو معادل ۱۲۰ دلار درخواست می‌دهد. در شکل زیر تصویر پیغام باج‌خواهی این باج افزار را مشاهده می‌کنید:

 

ارتباطات شبکه:

بررسی خروجی سندباکس های آنلاین نشان می دهد این باج‌افزار پس از اجرا سعی در برقراری ارتباط با آدرس‌های اینترنتی زیر و نیز تعدادی آدرس آی پی از طریق پورت ۸۰ و پروتکل TCP را دارد. تحلیل ترافیک شبکه باج افزار مذکور توسط کارشناسان این مرکز به خوبی گویای این موضوع می‌باشد.

در ادامه لیست کامل دامنه‌های درخواست داده شده که از سایت https://www.hybrid-analysis.com استخراج شده است، به شرح زیر می‌باشد :

کشور

آدرس IP دامنه

آمریکا

۱۰۴.۲۰.۱۷.۲۴۲

ipv4.icanhazip.com

سنگاپور

۱۰۳.۱۹۸.۰.۲

jmqapf3nflatei35.onion.link

سنگاپور

۱۰۳.۱۹۸.۰.۲

jmqapf3nflatei35.onion.link:80
آلمان

۱۸۵.۱۹۴.۱۴۱.۵۸

ip-api.com

 

 منبع : مرکز ماهر

 

 

همچنین ببینید

تحلیل باج افزار AutoTRON

فعالیت باج افزار AutoTRON در نیمه­‌ی دوم ماه آوریل سال ۲۰۱۸ میلادی شروع شده و …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.