خانه / باج افزار / تحلیل باج افزار SamSam

تحلیل باج افزار SamSam

مشاهدات حاکی از آن است که باج‌افزار SamSam  با هدف قرار دادن مراکز بهداشتی ، بیمارستان‌ها و همچنین کمپانی‌های بزرگ در آمریکا شروع قدرتمندی در سال ۲۰۱۸ داشته است . این نکته را باید در نظر گرفت که SamSam از طریق نفوذ به سرورها اقدام به نفوذ و آلوده‌سازی شبکه می‌نماید و دلیل موفقیت آن نیز همین نکته می‌باشد. این باج‌افزار پس از نفوذ به یک سرور با راه‌اندازی ابزار متن باز JexBoss اقدام به نفوذ و افزایش دسترسی به شبکه می‌نماید.

نتایج حاصل از بررسی‌ها نشان می‌دهد که این باج‌افزار فایل‌های سیستم قربانی را با  ترکیبی از دو الگوریتم رمزنگاری RSA  و AES رمزگذاری می‌کند . SamSam هیچ‌گونه مکانیزمی برای مخفی سازی فعالیت‌های خود در سیستم ندارد .

از نکات جالب توجه این باج‌افزار می توان به عدم رمزگذاری فایل‌های سیستم قربانی در سیستم عامل‌های ویستا و ما قبل آن اشاره کرد ، همچنین این باج‌افزار هیچ‌گونه سرور فرماندهی و کنترل (C&C) ندارد و به صورت مستقل عمل می‌کند.

 

باج‌افزار SamSam پس از ورود به سیستم قربانی، پیغام باج‌خواهی خود به نام  HELP_DECRYPT_YOUR_FILES.html را در دسکتاپ قربانی و همچنین در کنار تمامی فایل‌های رمزگذاری شده قرار می‌دهد. تصویر زیر پیغام باج‌خواهی باج‌افزار  SamSam را نشان می‌دهد.

همانطور که ملاحظه می کنید در ابتدا مبلغ باج درخواستی به ازای هر سیستم ۱ بیت کوین بود و پس از مدتی این مبلغ به ۵/۱ بیت کوین افزایش یافت . باج‌افزار این گزینه را در اختیار قربانیان قرار می دهد که در ازای رمزگشایی تمام سیستم ها ۲۲ بیت‌کوین بپردازند. در بعضی موارد نیز دیده شده که باج‌افزار مبلغ ۷/۱ بیت‌کوین از قربانی طلب کرده است.

با توجه به تصویر زیر، در می‌یابیم که فایل پیغام باج‌خواهی، یک فایل html و به نام HELP_DECRYPT_YOUR_FILES بوده و پسوند فایل‌های رمزگذاری شده  نیز .encryptedRSA خواهد بود.

لیست کامل مجموعه فایل‌های هدف به شرح زیر است:

“xls”,”.xlsx”,”.pdf”,”.doc”,”.docx”,”.ppt”,”.pptx”,”.txt”,”.dwg”,”.bak”,”.bkf”,”.pst”,”.dbx”,”.zip”,”.rar”,”.mdb”,”.asp”,”.aspx”,”.html”,”.htm”,”.dbf”,”.3dm”,”.3ds”,”.3fr”,”.jar”,”.3g2″,”.xml”,”.png”,”.tif”,”.3gp”,”.java”,”.jpe”,”.jpeg”,”.jpg”,”.jsp”,”.php”,”.3pr”,”.7z”,”.ab4″,”.accdb”,”.accde”,”.accdr”,”.accdt”,”.ach”,”.kbx”,”.acr”,”.act”,”.adb”,”.ads”,”.agdl”,”.ai”,”.ait”,”.al”,”.apj”,”.arw”,”.asf”,”.asm”,”.asx”,”.avi”,”.awg”,”.back”,”.backup”,”.backupdb”,”.pbl”,”.bank”,”.bay”,”.bdb”,”.bgt”,”.bik”,”.bkp”,”.blend”,”.bpw”,”.c”,”.cdf”,”.cdr”,”.cdr3″,”.cdr4″,”.cdr5″,”.cdr6″,”.cdrw”,”.cdx”,”.ce1″,”.ce2″,”.cer”,”.cfp”,”.cgm”,”.cib”,”.class”,”.cls”,”.cmt”,”.cpi”,”.cpp”,”.cr2″,”.craw”,”.crt”,”.crw”,”.phtml”,”.php5″,”.cs”,”.csh”,”.csl”,”.tib”,”.csv”,”.dac”,”.db”,”.db3″,”.db-journal”,”.dc2″,”.dcr”,”.dcs”,”.ddd”,”.ddoc”,”.ddrw”,”.dds”,”.der”,”.des”,”.design”,”.dgc”,”.djvu”,”.dng”,”.dot”,”.docm”,”.dotm”,”.dotx”,”.drf”,”.drw”,”.dtd”,”.dxb”,”.dxf”,”.dxg”,”.eml”,”.eps”,”.erbsql”,”.erf”,”.exf”,”.fdb”,”.ffd”,”.fff”,”.fh”,”.fmb”,”.fhd”,”.fla”,”.flac”,”.flv”,”.fpx”,”.fxg”,”.gray”,”.grey”,”.gry”,”.h”,”.hbk”,”.hpp”,”.ibank”,”.ibd”,”.ibz”,”.idx”,”.iif”,”.iiq”,”.incpas”,”.indd”,”.kc2″,”.kdbx”,”.kdc”,”.key”,”.kpdx”,”.lua”,”.m”,”.m4v”,”.max”,”.mdc”,”.mdf”,”.mef”,”.mfw”,”.mmw”,”.moneywell”,”.mos”,”.mov”,”.mp3″,”.mp4″,”.mpg”,”.mrw”,”.msg”,”.myd”,”.nd”,”.ndd”,”.nef”,”.nk2″,”.nop”,”.nrw”,”.ns2″,”.ns3″,”.ns4″,”.nsd”,”.nsf”,”.nsg”,”.nsh”,”.nwb”,”.nx2″,”.nxl”,”.nyf”,”.oab”,”.obj”,”.odb”,”.odc”,”.odf”,”.odg”,”.odm”,”.odp”,”.ods”,”.odt”,”.oil”,”.orf”,”.ost”,”.otg”,”.oth”,”.otp”,”.ots”,”.ott”,”.p12″,”.p7b”,”.p7c”,”.pab”,”.pages”,”.pas”,”.pat”,”.pcd”,”.pct”,”.pdb”,”.pdd”,”.pef”,”.pem”,”.pfx”,”.pl”,”.plc”,”.pot”,”.potm”,”.potx”,”.ppam”,”.pps”,”.ppsm”,”.ppsx”,”.pptm”,”.prf”,”.ps”,”.psafe3″,”.psd”,”.pspimage”,”.ptx”,”.py”,”.qba”,”.qbb”,”.qbm”,”.qbr”,”.qbw”,”.qbx”,”.qby”,”.r3d”,”.raf”,”.rat”,”.raw”,”.rdb”,”.rm”,”.rtf”,”.rw2″,”.rwl”,”.rwz”,”.s3db”,”.sas7bdat”,”.say”,”.sd0″,”.sda”,”.sdf”,”.sldm”,”.sldx”,”.sql”,”.sqlite”,”.sqlite3″,”.sqlitedb”,”.sr2″,”.srf”,”.srt”,”.srw”,”.st4″,”.st5″,”.st6″,”.st7″,”.st8″,”.std”,”.sti”,”.stw”,”.stx”,”.svg”,”.swf”,”.sxc”,”.sxd”,”.sxg”,”.sxi”,”.sxi”,”.sxm”,”.sxw”,”.tex”,”.tga”,”.thm”,”.tlg”,”.vob”,”.war”,”.wallet”,”.wav”,”.wb2″,”.wmv”,”.wpd”,”.wps”,”.x11″,”.x3f”,”.xis”,”.xla”,”.xlam”,”.xlk”,”.xlm”,”.xlr”,”.xlsb”,”.xlsm”,”.xlt”,”.xltm”,”.xltx”,”.xlw”,”.ycbcra”,”.yuv”

مشخصات فایل اجرایی : 

نام فایل samsam.exe
MD5 e26c6a20139f7a45e94ce0b16e62bd03
SHA-1 c6d7c27070a3838e2b6ac7e97e996b0fe6560fe2
SHA-256 ۸۹b4abb78970cd524dd887053d5bcd982534558efdf25c83f96e13b56b4ee805
اندازه فایل ۲۱۲.۵ kb
کامپایلر Microsoft visual C# v7.0 / Basic .NET

منبع : مرکز ماهر

همچنین ببینید

تحلیل باج افزار AutoTRON

فعالیت باج افزار AutoTRON در نیمه­‌ی دوم ماه آوریل سال ۲۰۱۸ میلادی شروع شده و …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.