۲۱ خرداد ۱۳۹۷

باج افزار GrandCrab و باگی در تغییر تصویر پس زمینه قربانیان

GrandCrab یکی از باج افزارهایی است که به سرعت در حال انتشار است و سال جاری بسیار در مورد آن بحث و بررسی انجام شد. اواخر ماه آوریل امسال بود که آزمایشگاه FortiGuard ، یک موج جدید از اسپم ها را در نسخه جدید آن یعنی ورژن سوم از باج افزار GrandCrab کشف کرد.

در نسخه جدید، باج افزار GrandCrab به تقلید از باج افزار هایی مانند Locky و Sage تصاویر پس زمینه قربانیان خود را تغییر می دهد. با این حال، هنگامی که پژوهشگران FortiGuard، این موضوع را بیشتر بررسی کردند باگی را پیدا کردند که می تواند آسیب بیشتری به قربانیان آن وارد کند.

موجی جدید از اسپم ایمیل

این باج افزار در حال حاضر از طریق اسپم ایمیل به سرعت در حال انتشار است. عنوان ایمیل متنی مانند Order #88079 می باشد. همچنین این ایمیل یک فایل ضمیمه دارد که در آن دانلودر ویژوال بیسیک پنهان شده است و با کلیک بر روی آن GrandCrab v3 نصب می شود. در واقع یک تفاوت این نسخه نسبت به نسخه پیشین آن یعنی نسخه GrandCrab v2.1 این است که از دانلودر ویژوال بیسیک به جای دانلودر جاوااسکریپت استفاده شده است. یک نمونه از ایمیل را در تصویر زیر مشاهده می کنید.

تغییر تصاویر پس زمینه و قفل شدن ناگهانی

همانطور که گفته شد، GrandCrab تصویر پس زمینه قربانیان خود را تغییر می دهد تا برای آن ها یادداشتی را نشان دهد، روشی که در گذشته توسط بسیاری از باج افزار ها صورت گرفته است اما با این وجود به نظر می رسد که با دیدن علائمی مانند فایل هایی با فرمت عجیب و غریب، فایل های بی استفاده و یادداشت های مختلف در پوشه ها نمی توان به طور قطع گفت که دستگاه به باج افزار آلوده شده است. مشکلی که متاسفانه بزرگتر از عدم توانایی در شناسایی آلوده شدن سیستم است، این است که پژوهشگران FortiGuard هنگام تست این باج افزار در ویندوز ۷ به یک باگ در تغییر تصاویر پس زمینه برخورد کردند. در ادامه این تست را شرح خواهیم داد.

پس از این که بدافزار فایل های قربانی را رمزگذاری کرد سیستم را مجددا راه اندازی می کند. در ویندوز ۱٫۸ و ۱۰ همانطور که به نظر می رسید این باج افزار به راحتی تصاویر پس زمینه را تغییر داد و سیستم به طور معمول مجددا راه اندازی شد.

اما به دلایلی در ویندوز ۷ این بوت شدن به پایان نرسید و پیش از آن که شل ویندوز به طور کامل بارگذاری شود سیستم در یک نقطه قفل کرد. این مورد به این معناست که قربانی رابط ویندوزی خود را از دست داده است و نمی تواند با سیستم عامل ارتباط برقرار کند و دستورات خود را به آن بدهد و در مجموع به نظر می رسد سیستم غیر قابل استفاده است و تنها یادداشت تصویر پس زمینه و صفحه دانلود مرورگر Tor قابل مشاهده است.

لازم به ذکر است سازندگان باج افزار این مورد را از عمد قرار نداده اند زیرا یکی از دستوراتی که باج افزار به کاربر می دهد این است که فایل CRAB-DECRYPT.txt که یک کپی از یک یادداشت است و در آن دستورعمل های بعدی قرار دارد را بخواند و قطعا یک کاربر معمولی یک رابط ویندوزی برای این کار لازم دارد.

در واقع به طور ناخواسته این باگ به سود سازندگان این باج شد زیرا ترس بیشتری برای قربانیان آن ایجاد میکند تا مجبور شوند باج پرداخت کنند. تصویر این یادداشت را در زیر ملاحظه می کنید.

یکی از راه هایی که سیستم را مجبور می کند تا مجددا راه اندازی شود این است که با فشردن کلید های CTRL+SHIFT+DEL و باز کردن TaskManager فرآیند مربوط به بدافزار را پایان دهیم.

علاوه بر اینکه پیدا کردن فرآیند مربوط به باج افزار از میان فرآیند های درحال اجرا، برای یک کاربر معمولی بسیار پیچیده است. موردی دیگری که وجود دارد این است که یک مکانیزم برای اجرای خودکار (Autorun) قرار داده شده که پس از راه اندازی مجدد، باج افزار را دوباره اجرا می کند. بنابراین برای جلوگیری از قفل شدن صفحه بعد از اینکه کاربر فرآیند را از طریق TaskManager خاتمه داد، لازم است تا فایل اجرایی مربوط به بدافزار که در مسیر APPDATA%\Microsoft\<RandomChars>.exe قرار دارد از سیستم پاک شود. منظور از عبارت RandomChars که در مسیر موردنظر آورده شده است این است که هر کلمه تصادفی میتواند جایگزین آن شود برای مثال gvdsvp.exe میتواند یک اسم تصادفی برای این فایل اجرایی باشد.

پس از حذف فایل اجرایی توصیه می شود ریجیستری فایل اجرایی نیز با دستورات زیر حذف شود.

نتیجه

با اینکه می دانیم وقتی شما یادداشتی از یک باج افزار را ببینید و تصور کنید که فایل های شما از بین رفته اند چه احساس بدی پیدا می کنید اما بدترین حالت زمانی رخ می دهد که شما دسترسی به سیستم خود را نیز از دست داده باشید.

همانطور که دیدید این موضوع که بدافزار ها باگ داشته باشند بسیار شایع است و بیش از پیش این نکته را به ما یادآوری می کند که باید هنگام دریافت ایمیل های نامطمئن هوشیار باشیم و با احتیاط عمل کنیم و قبل از بازکردن پیوست یک بررسی دقیق بر روی محتوای آن داشته باشیم. گرفتن نسخه پشتیبان از فایل های مهم نیز نکته ای است که نباید فراموش شود.

در پایان FortiGuard راه حل های زیر برای مقابله با این باج افزار انجام داد.

  1. ایمیل ها از طریق سیستم محافظتی FortiMailFortiGuard مسدود شد.
  2. فایل ها توسط ضدویروس FortiGuard شناسایی شد.
  3. پیوند های مخرب توسط سیستم فیلترینگ وب به نام FortiGuard Web Filtering Service فیلتر شد.
  4. FortiSandbox این مورد را به عنوان ریسک بالا ارزیابی کرد.

 

مراجع

[۱] “GandCrab V3 Accidentally Locks Systems with New ‘Change Wallpaper’ Feature,” https://www.fortinet.com/blog/threat-research/gandcrab-v3-accidentally-locks-systems-with-new–change-wallpape.html , May 2018.
[۲] “GandCrab Version 3 Released With Autorun Feature and Desktop Background,” https://www.bleepingcomputer.com/news/security/gandcrab-version-3-released-with-autorun-feature-and-desktop-background , May 2018.
[۳] “GandCrab 2.1 Ransomware on the Rise with New Spam Campaign,” https://www.fortinet.com/blog/threat-research/gandcrab-2-1-ransomware-on-the-rise-with-new-spam-campaign.html , April 2018.