گسترش Yatron از طریق EternalBlue
کد مطلب: 15188
تاریخ انتشار : دوشنبه ۲۷ اسفند ۱۳۹۷ ساعت ۰۹:۰۲
 
باج‌افزار Yatron از طریق اکسپلویت EternalBlue در حال گسترش است.
گسترش Yatron از طریق EternalBlue
 
 
Share/Save/Bookmark
باج‌افزار Yatron از طریق اکسپلویت EternalBlue در حال گسترش است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک باج‌افزار به‌عنوان سرویس (RaaS) جدیدی به نام Yatron کشف شده‌است که قصد‌ دارد از اکسپلویت‌های EternalBlue و DoublePulsar برای توزیع و گسترش خود به سایر رایانه‌ها در شبکه استفاده کند. همچنین این باج‌افزار در صورت پرداخت‌نشدن مبلغ باج درخواستی در مدت ۷۲ ساعت اقدام به حذف فایل‌های رمزگذاری‌شده می‌کند.

عامل پشت این باج‌افزار به طرز عجیبی در حال پخش و گسترش این سرویس با ارسال توییت به پژوهشگران باج‌افزار و پژوهشگران امنیتی مختلف است. مانند هر باج‌افزار دیگری بعد از اجرا، رایانه را برای یافتن فایل‌های هدف بررسی و آنها را رمزگذاری می‌کند. هنگام رمزگذاری یک فایل، پسوند Yatron. را به نام فایل رمزگذاری‌شده اضافه می‌کند. پس از اتمام رمزگذاری فایل‌ها، گذرواژه و شناسه منحصربه‌فرد رمزگذاری را به سرور فرمان و کنترل باج‌افزار ارسال می‌کند. این باج‌افزار بر اساس HiddenTear طراحی شده‌، اما الگوریتم رمزنگاری آن اصلاح‌ شده‌است تا با استفاده از روش‌های فعلی رمزگشایی نشود.

Yatron حاوی کدی برای استفاده از اکسپلویت‌های EternalBlue و DoublePulsar است تا با استفاده از آسیب‌پذیری‌های SMBv1 که مدت‌ها قبل باید رفع می‌شدند، خود را در سیستم‌های ویندوزی یکسان در شبکه، گسترش ‌دهد. خوشبختانه کد استفاده از دو اکسپلویت EternalBlue و DoublePulsar هنوز ناقص است و باج‌افزار در حال حاضر قابلیت استفاده از فایل اجرایی این دو اکسپلویت متکی بر آنها را ندارد.

Yatron علاوه‌بر بهره‌برداری از آسیب‌پذیری‌ها، تلاش می‌کند از طریق برنامه‌های P2P و با کپی‌کردن فایل اجرایی خود به پوشه‌های پیش‌فرض مورد استفاده برنامه‌هایی مانند Kazaa، Ares،eMule و غیره گسترش یابد. هنگام شروع این برنامه‌ها، باج‌افزار به‌طور خودکار توسط کاربر P2P به اشتراک گذاشته‌می‌شود.

بعد از پایان رمزگذاری، باج‌افزار رابطی را نمایش می‌دهد که حاوی شمارشگری با ۷۲ ساعت مهلت تا پاک‌شدن فایل‌های رمزگذاری‌ شده‌است. برای محافظت فایل‌ها دربرابر حذف‌شدن، کاربر می‌تواند فرایند باج‌خواهی را با اجرای ابزاری مانند Process Explorer در سطح ادمین متوقف‌کند.

Yatron به‌عنوان یک باج‌افزار به‌عنوان سرویس (RaaS) معرفی شده‌، اما کمی متفاوت‌تر از یک RaaS معمولی است. به‌طور معمول، هنگامی که مجرمان تازه‌کار به یک RaaS می‌پیوندند، توسعه‌دهنده سهمی از درآمد تمام باج‌های پرداخت‌شده را دریافت می‌کند. به عنوان مثال، برخی از RaaSها، ۲۰ درصد از تمام باج‌ها را دریافت می‌کنند، در حالی که توزیع‌کننده‌ها ۸۰ درصد باقیمانده را به دست می آورند. این باج‌افزار تنها مبلغ ۱۰۰ دلار در ابتدا بصورت بیت‌کوین دریافت می‌کند و هیچ درصدی از باج‌ها را درخواست نمی‌کند.
مرجع : مرکز مدیریت راهبردی افتا