خانه / باج افزار / تحلیل باج افزار Spartacus

تحلیل باج افزار Spartacus

رصد فضای سایبری در حوزه باج‌افزار، از ظهور نمونه جدیدی به نام Spartacus خبر می­ دهد. بر اساس گزارشات بدست آمده، فعالیت این باج‌­افزار از اواسط ماه آوریل سال ۲۰۱۸ میلادی آغاز گردیده و به نظر می­ رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­‌باشد. نکته­‌ای که در مورد پیغام باج‌­خواهی این باج‌­افزار به چشم می‌خورد این است که مبلغ باج متغیر بوده و بر اساس روش ارتباط‌گیری قربانی با مهاجم تعیین خواهد شد. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

بررسی ها نشان می دهد باج‌­افزار مورد اشاره، فایل­‌های موجود در پوشه ­هایی خاص، بدون در نظر گرفتن پسوند آن­ها و با استفاده از الگوریتم­‌های رمزنگاری AES و RSA 2048 بیتی، رمزگذاری می‌­کند. پس از رمزگذاری موفقیت‌­آمیز فایل­‌ها، دسکتاپ سیستم قربانی با به نمایش در آمدن پیغام باج­‌خواهی قفل شده و به صورت مستقیم دسترسی به دسکتاپ وجود ندارد. این باج‌­افزار اغلب ابزارهای کاربردی ویندوز از جمله Calculator ، Snipping Tools ، Sound Recorder و … را نیز رمزگذاری می کند که منجر به ایجاد اختلال در عملکرد صحیح سیستم عامل می‌گردد. تصویر زیر نشان­‌دهنده­ فایل­‌های رمزگذاری شده توسط باج‌­افزار Spartacus می­‌باشد :

باج افزار، پس از رمزگذاری فایل­‌ها به انتهای آن­ها، ایمیل برقراری ارتباط با مهاجم و پسوندی همنام با نام باج‌­افزار اضافه می کند. همچنین یک فایل متنی با فرمت TXT در هر پوشه­‌ای که فایل­‌های رمزگذاری شده وجود دارد، ایجاد می­‌شود که حاوی ایمیل­‌های برقراری ارتباط با مهاجم و شناسه منحصر به فرد قربانیان می‌­باشد.

در تصویر زیر پیغام باج‌خواهی باج­افزار Spartacus را مشاهده می­‌کنید :

بر اساس پیغام باج‌خواهی، مهاجم اعلام می­‌کند که تمام فایل­‌های قربانی رمزگذاری شده و در صورت تمایل برای رمزگشایی آن­ها، می بایست یک ایمیل به همراه کد شخصی موجود در پیغام باج­‌خواهی برای وی به آدرس ایمیل MastersRecovery@protonmail.com ارسال نماید. ضمناً در صورت عدم ارسال پاسخ طی ۲۴ ساعت، ایمیل جایگزین به آدرس MastersRecovery@cock.li نیز تعبیه شده است. همچنین مهاجم اعلام نموده­ که قربانی، مبلغ باج را از طریق کیف پول بیت­‌کوین پرداخت نماید اما مبلغ مشخصی برای پرداخت تعیین نشده است.

پس از بررسی­‌های انجام شده روش مشخصی برای ورود این باج­‌افزار یافت نشد اما کارشناسان بر این باورند مانند اکثر باج‌­افزارها از روش­‌هایی مانند هرزنامه‌­ها، فایل­‌های مخرب و به روز رسانی‌­های جعلی، قربانیان را مورد حمله قرار دهد.

بررسی‌­ها نشان می‌­دهد که باج‌افزار Spartacus فایل­های موجود در دایرکتوری­‌های خاص را رمزگذاری کند و پس از اتمام فرآیند رمزگذاری، به انتهای تمام فایل‌های موجود در آن دایرکتوری­‌ها، عبارت “.MastersRecovery@protonmail.com.Spartacus” اضافه می گردد. این دایرکتوری‌ها عبارتند از :

Personal, MyComputer, MyMusic, System, DesktopDirectory, History, Favorites, Desktop

نتایج بدست آمده از تحلیل‌ها نشان می دهد که باج‌­افزار Spartacus از تابعی به نام Form1 برای نمایش پیغام باج­خواهی و تنظیمات مربوط به آن استفاده می­‌کند. این باج­‌افزار در پیغام باج­‌خواهی خود یک شناسه منحصربفرد برای هر قربانی تولید می‌­کند که در تصویر زیر نشان داده شده است.

 

مشخصات فایل اجرایی :

نام فایل Spartacus.exe, SF.exe
اندازه ۹۴٫۵۰ KB
SHA-1 a01294ffd541229718948e17f791694efb596123
SHA-256 ef25bdbcf05fa478df3ddc5f4f717c070e443da04cfc590d44409c815f237cb3
MD5 ۲۵dee2e70c931f3fa832a5b189117ce8
کامپایلر Microsoft visual C# v7.0 / Basic .NET

 

منبع : مرکز ماهر

 

 

 

همچنین ببینید

تحلیل باج افزار AutoTRON

فعالیت باج افزار AutoTRON در نیمه­‌ی دوم ماه آوریل سال ۲۰۱۸ میلادی شروع شده و …

۲ دیدگاه

  1. بسیار کامل و کاربردی بود.
    ممنون از زمانی که بابت تولید و انتشار چنین محتوای ارزشمندی می کنید.
    موفق باشید.

  2. سلام ممنون بابت مقاله کاملتون استفاده کردم ولی عکس ها خیلی بی کیفیت بود لطفا عکس های با کیفیت تر بزارید آدم چشماش درد نگیره.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.