thanatos
۶ اردیبهشت ۱۳۹۷

باج‏ افزار تاناتوس و تحلیلی کوتاه بر عملکرد آن

آزمایشگاه امنیتی Quick Heal به تازگی باج‏افزاری را کشف کرده است که از طریق به‏کاربردن شیوه‏ی رمزنگاری AES فایل‏های قربانی را رمزگذاری کرده و از قربانی ۰٫۰۱ بیت‏کوین را درخواست می‏کند. این باج‏افزار به‏عنوان تاناتوس (Thanatos) نامیده می‏شود. تاناتوس نوعی از تروجان مخرب می‏باشد که از طریق تبلیغات مخرب، سایت‏های فیشینگ، ایمیل‏های اسپم، نرم‏افزارهای رایگان و کرک‏شده انتشار یافته‏است. در ایمیل‏های اسپم، این باج‏افزار در فایل‏هایی با حجم بسیار کم در قالب‏های PDF، ZIP، Word، Doc تعبیه و مخفی می‏شود و با بازکردن چنین فایل‏هایی عملیات رمزگذاری برروی سیستم قربانی شروع می‏شود. جریان‏کاری تاناتوس به‏منظور اجرا، این باج‏افزار نرم‏افزارهای زیر را در سیستم قربانی جست‏وجو می‏کند: Avenue Power Desk، Corel، Debuggers، Lotus، Microsoft PowerPoint، Star Office. پس از اجرای موفقیت‏آمیز، تغییرات زیر را در سیستم قربانی به‏جا می‏گذارد: Exe file – ‘<%appdata%/random_folder/random.exe> ‘ Registry – ‘user\current\software\Microsoft\Windows\CurrentVersion\Run\DO_NOT_DELETE_THIS = C:\Windows\System32\notepad.exe C:\Users\Desktop\README.txt’
فایل .exe بلافاصله فرآیند رمزگذاری را برروی سیستم هدف آغاز می‏کند. در این‏زمان یک فایل متنی با عنوان README.txt برای قربانی نمایش داده می‏شود که به شکل مقابل است:
پس‏از رمزگذاری، یک افزونه‏ی .Thanatos به فایل‏های رمزگذاری‏شده اضافه می‏شود و فایل هشدار README.txt حذف می‏شود. README.TXT هرزمان که کاربر سیستم خود را ریستارت کند اجرا می‏شود و پس از پایان فرآیند رمزگذاری، این روند توسط Thanatos از حافظه حذف می‏شود. روند حفاظت از کاربران آزمایشگاه Quick Heal سه سطح را برای حفاظت از کاربران پیشنهاد می‏کند: این سطوح عبارتند از:
  • حفاظت در برابر ویروس‏ها
  • تشخیص برپایه‏ی رفتار
  • نرم‏افزارهای ضد باج‏افزار
heal
heal
چگونگی درامان ماندن از حملات این باج‏افزار باتوجه به‏ این‏که فایل‏های رمزگذاری‏شده توسط این باج‏افزار به سختی قابل رمزگشایی می‏باشند و این‏که از کلیدی متفاوت برای رمزگذاری هر فایل استفاده می‏شود که به‏صورت محلی ایجاد می‏شود، لذا به قربانیان توصیه می‏گردد که از پرداخت هرگونه باج به مهاجمین خودداری کنند. اقدامات امنیتی زیر را برای جلوگیری از این حمله باید مدنظر قرار داد:
  • همواره یک فایل پشتیبان از داده‏های مهم خود را برروی درایوهای خلرجی مانند دیسک‏های سخت موجود تهیه کنید. همچنین می‏توانید از یک سرویس ابری مطمئن نیز برای این کار استفاده کنید.
  • هرگز نرم‏افزارهای رایگان و کرک شده موجود در اینترنت را نصب و اجرا نکنید.
  • هرگز صفحات تبلیغاتی روی اینترنت را بدون توجه به میزان واقعی بودن و اطمینان از آن‏ها باز نکنید.
  • هنگام استفاده از برنامه MS Office ویژگی Macro را غیرفعال کنید.
  • همواره به‏روزرسانی‏های مربوط به آنتی‏ویروس خود را به‏موقع انجام دهید تا از تهدیدات ناشناخته و جدید درامان باشید.

منابع

[۱] “Thanatos Ransomware – an analysis by Quick Heal Security Labs,”http://blogs.quickheal.com/thanatos-ransomware-analysis-quick-heal-security-labs/, February 2018.