باجافزار Yatron از طریق اکسپلویت EternalBlue در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک باجافزار بهعنوان سرویس (RaaS) جدیدی به نام Yatron کشف شدهاست که قصد دارد از اکسپلویتهای EternalBlue و DoublePulsar برای توزیع و گسترش خود به سایر رایانهها در شبکه استفاده کند. همچنین این باجافزار در صورت پرداختنشدن مبلغ باج درخواستی در مدت ۷۲ ساعت اقدام به حذف فایلهای رمزگذاریشده میکند.
عامل پشت این باجافزار به طرز عجیبی در حال پخش و گسترش این سرویس با ارسال توییت به پژوهشگران باجافزار و پژوهشگران امنیتی مختلف است. مانند هر باجافزار دیگری بعد از اجرا، رایانه را برای یافتن فایلهای هدف بررسی و آنها را رمزگذاری میکند. هنگام رمزگذاری یک فایل، پسوند Yatron. را به نام فایل رمزگذاریشده اضافه میکند. پس از اتمام رمزگذاری فایلها، گذرواژه و شناسه منحصربهفرد رمزگذاری را به سرور فرمان و کنترل باجافزار ارسال میکند. این باجافزار بر اساس HiddenTear طراحی شده، اما الگوریتم رمزنگاری آن اصلاح شدهاست تا با استفاده از روشهای فعلی رمزگشایی نشود.
Yatron حاوی کدی برای استفاده از اکسپلویتهای EternalBlue و DoublePulsar است تا با استفاده از آسیبپذیریهای SMBv1 که مدتها قبل باید رفع میشدند، خود را در سیستمهای ویندوزی یکسان در شبکه، گسترش دهد. خوشبختانه کد استفاده از دو اکسپلویت EternalBlue و DoublePulsar هنوز ناقص است و باجافزار در حال حاضر قابلیت استفاده از فایل اجرایی این دو اکسپلویت متکی بر آنها را ندارد.
Yatron علاوهبر بهرهبرداری از آسیبپذیریها، تلاش میکند از طریق برنامههای P2P و با کپیکردن فایل اجرایی خود به پوشههای پیشفرض مورد استفاده برنامههایی مانند Kazaa، Ares،eMule و غیره گسترش یابد. هنگام شروع این برنامهها، باجافزار بهطور خودکار توسط کاربر P2P به اشتراک گذاشتهمیشود.
بعد از پایان رمزگذاری، باجافزار رابطی را نمایش میدهد که حاوی شمارشگری با ۷۲ ساعت مهلت تا پاکشدن فایلهای رمزگذاری شدهاست. برای محافظت فایلها دربرابر حذفشدن، کاربر میتواند فرایند باجخواهی را با اجرای ابزاری مانند Process Explorer در سطح ادمین متوقفکند.
Yatron بهعنوان یک باجافزار بهعنوان سرویس (RaaS) معرفی شده، اما کمی متفاوتتر از یک RaaS معمولی است. بهطور معمول، هنگامی که مجرمان تازهکار به یک RaaS میپیوندند، توسعهدهنده سهمی از درآمد تمام باجهای پرداختشده را دریافت میکند. به عنوان مثال، برخی از RaaSها، ۲۰ درصد از تمام باجها را دریافت میکنند، در حالی که توزیعکنندهها ۸۰ درصد باقیمانده را به دست می آورند. این باجافزار تنها مبلغ ۱۰۰ دلار در ابتدا بصورت بیتکوین دریافت میکند و هیچ درصدی از باجها را درخواست نمیکند.