خانه / باج افزار / تحلیل باج افزار Spartacus

تحلیل باج افزار Spartacus

رصد فضای سایبری در حوزه باج‌افزار، از ظهور نمونه جدیدی به نام Spartacus خبر می­ دهد. بر اساس گزارشات بدست آمده، فعالیت این باج‌­افزار از اواسط ماه آوریل سال ۲۰۱۸ میلادی آغاز گردیده و به نظر می­ رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­‌باشد. نکته­‌ای که در مورد پیغام باج‌­خواهی این باج‌­افزار به چشم می‌خورد این است که مبلغ باج متغیر بوده و بر اساس روش ارتباط‌گیری قربانی با مهاجم تعیین خواهد شد. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

بررسی ها نشان می دهد باج‌­افزار مورد اشاره، فایل­‌های موجود در پوشه ­هایی خاص، بدون در نظر گرفتن پسوند آن­ها و با استفاده از الگوریتم­‌های رمزنگاری AES و RSA 2048 بیتی، رمزگذاری می‌­کند. پس از رمزگذاری موفقیت‌­آمیز فایل­‌ها، دسکتاپ سیستم قربانی با به نمایش در آمدن پیغام باج­‌خواهی قفل شده و به صورت مستقیم دسترسی به دسکتاپ وجود ندارد. این باج‌­افزار اغلب ابزارهای کاربردی ویندوز از جمله Calculator ، Snipping Tools ، Sound Recorder و … را نیز رمزگذاری می کند که منجر به ایجاد اختلال در عملکرد صحیح سیستم عامل می‌گردد. تصویر زیر نشان­‌دهنده­ فایل­‌های رمزگذاری شده توسط باج‌­افزار Spartacus می­‌باشد :

باج افزار، پس از رمزگذاری فایل­‌ها به انتهای آن­ها، ایمیل برقراری ارتباط با مهاجم و پسوندی همنام با نام باج‌­افزار اضافه می کند. همچنین یک فایل متنی با فرمت TXT در هر پوشه­‌ای که فایل­‌های رمزگذاری شده وجود دارد، ایجاد می­‌شود که حاوی ایمیل­‌های برقراری ارتباط با مهاجم و شناسه منحصر به فرد قربانیان می‌­باشد.

در تصویر زیر پیغام باج‌خواهی باج­افزار Spartacus را مشاهده می­‌کنید :

بر اساس پیغام باج‌خواهی، مهاجم اعلام می­‌کند که تمام فایل­‌های قربانی رمزگذاری شده و در صورت تمایل برای رمزگشایی آن­ها، می بایست یک ایمیل به همراه کد شخصی موجود در پیغام باج­‌خواهی برای وی به آدرس ایمیل MastersRecovery@protonmail.com ارسال نماید. ضمناً در صورت عدم ارسال پاسخ طی ۲۴ ساعت، ایمیل جایگزین به آدرس MastersRecovery@cock.li نیز تعبیه شده است. همچنین مهاجم اعلام نموده­ که قربانی، مبلغ باج را از طریق کیف پول بیت­‌کوین پرداخت نماید اما مبلغ مشخصی برای پرداخت تعیین نشده است.

پس از بررسی­‌های انجام شده روش مشخصی برای ورود این باج­‌افزار یافت نشد اما کارشناسان بر این باورند مانند اکثر باج‌­افزارها از روش­‌هایی مانند هرزنامه‌­ها، فایل­‌های مخرب و به روز رسانی‌­های جعلی، قربانیان را مورد حمله قرار دهد.

بررسی‌­ها نشان می‌­دهد که باج‌افزار Spartacus فایل­های موجود در دایرکتوری­‌های خاص را رمزگذاری کند و پس از اتمام فرآیند رمزگذاری، به انتهای تمام فایل‌های موجود در آن دایرکتوری­‌ها، عبارت “.MastersRecovery@protonmail.com.Spartacus” اضافه می گردد. این دایرکتوری‌ها عبارتند از :

Personal, MyComputer, MyMusic, System, DesktopDirectory, History, Favorites, Desktop

نتایج بدست آمده از تحلیل‌ها نشان می دهد که باج‌­افزار Spartacus از تابعی به نام Form1 برای نمایش پیغام باج­خواهی و تنظیمات مربوط به آن استفاده می­‌کند. این باج­‌افزار در پیغام باج­‌خواهی خود یک شناسه منحصربفرد برای هر قربانی تولید می‌­کند که در تصویر زیر نشان داده شده است.

 

مشخصات فایل اجرایی :

نام فایل Spartacus.exe, SF.exe
اندازه ۹۴.۵۰ KB
SHA-1 a01294ffd541229718948e17f791694efb596123
SHA-256 ef25bdbcf05fa478df3ddc5f4f717c070e443da04cfc590d44409c815f237cb3
MD5 ۲۵dee2e70c931f3fa832a5b189117ce8
کامپایلر Microsoft visual C# v7.0 / Basic .NET

 

منبع : مرکز ماهر

 

 

 

همچنین ببینید

تحلیل باج افزار AutoTRON

فعالیت باج افزار AutoTRON در نیمه­‌ی دوم ماه آوریل سال ۲۰۱۸ میلادی شروع شده و …

یک دیدگاه

  1. بسیار کامل و کاربردی بود.
    ممنون از زمانی که بابت تولید و انتشار چنین محتوای ارزشمندی می کنید.
    موفق باشید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.