روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین ما بدافزار HermeticRansom را که همچنین به Elections GoRansom نیز معروف است تحلیل کرده‌اند. به طور کلی این بدافزار یک کریپتور ساده است اما آنچه جذابش کرده هدف مهاجمین برای به کار بردن آن است. با ما همراه شوید تا این موضوع را مورد بررسی قرار دهیم.

اهداف HermeticRansom

HermeticRansom همزمان با بدافزار دیگری به نام HermeticWiper به کامپیوترها حمله کرده است و بر اساس اطلاعاتی که به طور عمومی توسط جوامع امنیتی در دسترس است این بدافزار برای حملات سایبری اخیر در اوکراین مورد استفاده قرار گرفته. به نقل از محققین کسپرسکی، سادگی نسبی و اجرای قابل‌بحث جریان کاری این بدافزار نشان از این دارد که HermeticRansom برای حملات HermeticWiper به عنوان پرده دودی[1] از HermeticRansom استفاده می‌کرده است.

چه کارهایی از HermeticRansom برمی‌آید؟

این بدافزار وقتی کامپیوتر قربانی را آلوده کرد ابتدا هارد درایوها را شناسایی کرده و لیستی از دایرکتوری‌ها و فایل‌های هرجایی غیر از فولدرهای Windows  و Program Files جمع‌آوری می‌کند. سپس برخی دسته‌بندی‌های فایل را رمزگذاری کرده و نامگذاری جدید رویشان انجام می‌دهد؛ بدین‌ترتیب تگ رمزگذاری و آدرس ایمیل اپراتورهای این باج‌افزار بدان‌ها افزوده می‌شود. این بدافزار همچنین یک فایل read_me.html را در فولدر دسکتاپ که حاوی یادداشت باج به همراه شماره تماس مهاجمین است درست می‌کند. این یادداشت چیزی شبیه به مورد زیر است:

HermeticRansom با این افزونه‌ها فایل‌ها را رمزگذاری می‌کند: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi  و. odt.

 ویژگی‌های خاص HermeticRansom

HermeticRansom به زبان  Golang نوشته شده است و از هیچ مکانیزم مبهم‌سازی نیز استفاده نمی‌کند. متود رمزگذاری‌اش هم نسبتاً مشکل و ناکارامد است. محققین ما با بررسی این موارد و نیز علایم دیگر گمان می‌کنند بدافزار مذکور از سر شتابزدگی ساخته و طراحی شده است.

راهکارهای امنیتی

راهکارهای امنیتی لابراتوار کسپرسکی به طور موفقیت‌آمیزی بدافزار HermeticRansom و تهدیدهای مشابه را شناسایی می‌کنند. ما طیفی از ابزار را برای محافظت از کامپیوترهای خانگی شما و نیز زیرساخت سازمانی در اختیار داریم:

• Kaspersky Internet Security: راهکار امنیتی چند پلت‌فرمه برای کاربران خانگی
• Kaspersky Endpoint Security Cloud: راهکاری برای محافظت در سطح سازمانی
• Kaspersky Anti-Ransomware Tool: راهکار رایگان سازمانی ما که حکم لایه‌ی محافظتی اضافی به موازات محصولات سایر فروشندگان را دارد.

[1] Smokescreen دودی است که جنبش‌ها یا لوکیشن واحدهای نظامی مانند تانک‌ها، فروندهای هواپیمایی و غیره را ماسکه می‌کرده است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.