grandcrab
۲۱ خرداد ۱۳۹۷

باج افزار GandCrab 2.1 در رشد با کمپین اسپم جدید

در چند روز گذشته، FortiGuard Labs شاهد افزایش یک کمپین اسپم ایمیل با ارائه آخرین باج افزار GanCrab  v2.1 بوده است. این مقاله یک مرور کلی از این برنامه مخرب را فراهم می کند و جزئیات را مشخص می کند که کاربران می توانند آن را شناسایی کنند.

کمپین اسپم
تصویر روبه رو تصویری از KTIS (سیستم اطلاعات خطرناک Kadena) است که نمای کلی یک کمپین یک نفره را نشان می دهد که منجر به نمونه برداری GandCrab v2.1 می شود. در موقعیت های امنیتی، استانداردها و انطباق های قانونی افزایش داده است.
شکل 1- نمای اسپم KTIS

شکل ۱- نمای اسپم KTIS

جداسازی شاخه ای از تصویر به ما اجازه می دهد که بتوانیم کمپین را به صورت دقیق تر بررسی کنیم. ایمیل های متعددی شامل یک پیوست جاوا اسکریپت است، که هنگام اجرای آن یک نسخه Gandcrab v2.1 را از آدرس مخرب http [:] // 185.189.58.222/uh.exe دانلود می کند.

این نمودار همچنین نشان می دهد که در زمان نوشتن این مقاله، سه هشدار منحصر به فرد (متفاوت) Gandcrab v2.1 پیش از نشانی اینترنتی میزبانی شده است. نهاد موجود در پشت این آدرس IP همچنین میزبانی نرم افزارهای مخرب مانند Phorpiex است که یک کرم است که اجازه دسترسی و کنترل درهای پشتی را می دهد و IRCbot که یک تروجان است که می تواند حمله کنندگان را با دسترسی راه دور به سیستم آلوده فراهم کند.

شکل 2- یک زنجیره واحد کمپین اسپم GandCrab 2.1

شکل ۲- یک زنجیره واحد کمپین اسپم GandCrab 2.1

همانطور که قبلا ذکر شد، نمونه های اسپم ایمیل شامل جاوا اسکریپت ها در داخل آرشیوها با قالب نام فایل DOC <NUMBERS> .zip پنهان می شوند. محتویات آنها مشابه آنچه که در شکل بعدی نشان داده شده است. نمونه های مشاهده شده شامل موارد زیر است:
  • Document #<NUMBERS>
  • Invoice #<NUMBERS>
  • Order #<NUMBERS>
  • Payment #<NUMBERS>
  • Payment Invoice #<NUMBERS>
  • Ticket #<NUMBERS>
  • Your Document #<NUMBERS>
  • Your Order #<NUMBERS>
  • Your Ticket #<NUMBERS>
توزیع جغرافیایی

نمودار زیر توزیع اسپم را از لحاظ دامنه گیرنده ایمیل جمع آوری شده از ایمیل های اسپم جمع آوری شده در هفته گذشته شرح می دهد. همانطور که مشاهده می شود، سرورهای پست الکترونیکی میزبان در ایالات متحده در حال حاضر گیرنده اصلی این کمپین هستند.

شکل 3- توزیع جغرافیایی حوزه های گیرنده ایمیل

شکل ۳- توزیع جغرافیایی حوزه های گیرنده ایمیل

 

نتیجه

باج افزارGandCrab ، یا هر نوع باج افزار دیگری، می تواند آسیب برگشت ناپذیر به یک سیستم وارد کند. بهترین دفاع در برابر این نوع حملات، سلامت سایبری و شیوه های امن است. در این مورد، به یاد داشته باشید همیشه مهم است که در مورد ایمیل های ناخواسته، به ویژه افرادی که دارای پیوست های قابل اجرا هستند، احتیاط کنید. علاوه بر این، اگر همه چیز با شکست مواجه شود، مطمئن شوید که همیشه پشتیبان ذخیره شده در محیط شبکه ذخیره کنید تا بتوانید به طور موفقیت آمیز یک سیستم آسیب دیده را بازیابی کنید.

 

مراجع

تیم پشتیانی مرکز تخصصی آپا دانشگاه گیلان