تستمر Dharma 2.0 Ransomware في إحداث فوضى مع متغير جديد

وقت القراءة: 6 دقائق يكشف فريق Comodo Cyber ​​Security عن العوامل الداخلية لأحدث سلالة من هذا التهديد المستمر

يبحث فريق Comodo Cyber ​​Security باستمرار عن أحدث برامج الفدية للمساعدة في حماية مستخدمينا بشكل أفضل ومشاركة نتائجنا مع مجتمعات netsec ومكافحة الفيروسات الأوسع. نود اليوم أن نخبرك عن الإصدار الأحدث من الفدية تسمى دارما الإصدار 2.0.

ظهرت البرامج الضارة لأول مرة في عام 2016 تحت اسم CrySIS. استهدف أنظمة Windows ويقوم بتشفير ملفات الضحايا باستخدام خوارزميات AES-256 و RSA-1024 قوية ، قبل المطالبة بفدية في عملات البيتكوين. كما هو الحال مع جميع سلالات برامج الفدية تقريبًا ، لا يمكن استرداد الملفات تمامًا بدون مفتاح فك التشفير ، ويجب على الضحية دفع فدية للحصول على المفتاح.

يتم تسليم حصان طروادة Dharma عن طريق فرض كلمات مرور ضعيفة على اتصالات RDP ، أو عن طريق جعل الضحية تفتح مرفق بريد إلكتروني ضار. تتضمن الطريقة الأولى قيام المهاجم بفحص المنفذ 3389 للاتصالات التي تستخدم بروتوكول RDP. بمجرد العثور على هدف ، يحاول المهاجم تسجيل الدخول إلى الاتصال عن طريق تجربة كلمات مرور مختلفة تلقائيًا من مكتبة ضخمة من كلمات المرور المعروفة ، حتى تعمل إحداها. من هناك ، يتمتع المهاجم بالسيطرة الكاملة على الجهاز المستهدف ويقوم بتشغيل رانسومواري دارما يدويًا على ملفات المستخدم.

الطريقة الأخيرة هي هجوم بريد إلكتروني كلاسيكي. يتلقى الضحية بريدًا إلكترونيًا يبدو كما لو أنه يأتي من مزود مكافحة الفيروسات الواقعي. يحتوي على تحذير حول البرامج الضارة على أجهزتهم ويوجههم لتثبيت ملف مكافحة الفيروسات المرفق لإزالة التهديد. بالطبع ، المرفق ليس برنامجًا مضادًا للفيروسات ، إنه Dharma 2.0 ، الذي يشرع بعد ذلك في تشفير ملفات المستخدم والمطالبة بفدية لإلغاء تأمينها.

في فبراير 2020 ، و Comodo Cyber ​​Security اكتشف الفريق أحدث تطور لهذا البرامج الضارة ، دارما 2.0. يحتوي هذا الإصدار على وظيفة التشفير الأساسية للإصدارات السابقة ، ولكنه يحتوي أيضًا على باب خلفي إضافي يمنح إمكانيات المسؤول عن بُعد. دعونا نلقي نظرة فاحصة على تفاصيل Dharma 2.0 ، بمساعدة فريق Comodo Cyber ​​Security.

التسلسل الهرمي لتنفيذ العملية لـ Dharma 2.0

تظهر شجرة تنفيذ البرنامج الضار في لقطة الشاشة أدناه ، مع "Wadhrama 2.0.exe" في رأس القائمة:

يستخدم البرنامج الضار الأداة المساعدة لوضع الجهاز DOS لجمع بعض المعلومات حول لوحة مفاتيح الضحية وحذف أي نسخ احتياطية من ملفاتهم. يُستخدم الأمر 'vssadmin delete shadows / all / quiet' بشكل شائع في برامج الفدية لحذف نقاط استعادة Windows الحالية ، مما يسرق المستخدم من نسخة احتياطية من ملفاته:

مع اختفاء النسخ الاحتياطية ، لا يمكن للمستخدمين استعادة ملفاتهم ما لم يكن لديهم نسخة احتياطية خارجية من جهة خارجية. العديد من الشركات لديها مثل هذه النسخ الاحتياطية ، لكن الرقم المثير للقلق ليس كذلك.

بعد تشفير جميع الملفات الموجودة على الكمبيوتر ، يحتاج المهاجم الآن إلى طريقة لإيصال تعليماته للضحية. يقوم بذلك باستخدام "mshta.exe" لفتح "Info.hta" كتشغيل تلقائي باستخدام الأمر

"C: UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartupInfo.hta".

"Info.hta" هو الملف الذي يحتوي على ملاحظة الفدية:

"تم تشفير جميع ملفاتك!"

التحليل الديناميكي لـ Dharma 2.0

يقوم Wadhrama 2.0.exe بإنشاء ملفي sql ، "about.db" و "about.db-journal" في <٪ usersadministratorappdatalocaltemp٪>. يقوم بإنشاء نسخة من نفسه في <٪ system32٪> ، <٪ startup٪> ، ويضيف الامتداد "[bitlocker@foxmail.com] .wiki" في نهاية جميع الملفات المشفرة:

ج: usersad المسؤولappdatalocaltempabout.db
ج: المستخدمينappdatalocaltempabout.db-journal
ج: windowssystem32Wadhrama 2.0.exe
ج: المستخدمون المسؤول التطبيقالتجوال MicrosoftWindowsstart menuprogramsstartupWadhrama 2.0.exe
ج: programdatamicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500desktop.ini.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: bootbootstat.dat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c: bootsect.bak.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-coffice64ww.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: config.sys.id-5A3EBE7D. [bitlocker@foxmail.com]. wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-csetup.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c: autoexec.bat.id-5A3EBE7D. [bitlocker@foxmail.com] .wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$r1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$i1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki

التحليل الساكن لـ Dharma 2.0

اختبر فريق الأمن السيبراني تعقيد التشفير لـ Dharma 2.0 من خلال إنشاء ثلاثة ملفات نصية متطابقة من 5 أسطر بالمحتوى التالي:

قمنا بتسمية الملفات الثلاثة باسم "autorun.inf" و "boot.sdi" و "bootsect.exe" ونقلنا كل منها إلى موقع مختلف. نظرًا لأن الملفات جميعها من نفس النوع والحجم ولها نفس المحتوى ، فإنها تشترك جميعها في نفس توقيع SHA1 - 9ea0e7343beea0d319bc03e27feb6029dde0bd96.

هذه لقطة شاشة للملفات قبل التشفير بواسطة Dharma:

بعد التشفير ، لكل منها حجم وتوقيع مختلف للملف:

حمولة دارما 2.0

• ينشئ Dharma 2.0 ملفي قاعدة بيانات يسمى "about.db" و "about.db-journal" في "<٪ AppData٪> \ local \ temp". الملفات هي ملفات SQLite وتحتوي على ما يلي

الجداول - "الإعداد" و "خريطة المفاتيح". تسمح قواعد البيانات بأوامر المسؤول عن بُعد مثل / eject / eject ، / روناس / روناس ، / syserr / syserr ، / url / url و

/ runscreensaver / runscreensaverd ، / shutdisplay / shutdisplayd ، / edithost / edithostsd ،

/ إعادة التشغيل / restard، / shutdown / shutdownd / logoff / logoffd، / lock / lockd، / quit / quitd، / config / configd

/ حول / aboutd.

• ينشئ Dharma 2.0 كائنين من نوع mutex يسمى "Global \ syncronize_261OR3A" و "Global \ syncronize_261OR3U". كائنات كائن المزامنة (Mutex) تحد من مقدار العمليات التي يمكنها الوصول إلى جزء معين من البيانات. يؤدي هذا إلى تأمين البيانات من العمليات الأخرى بشكل فعال بحيث يمكن للتشفير المضي قدمًا دون انقطاع.

• يبحث Dharma 2.0 عن امتدادات الملفات التالية لتشفيرها:
◦ تنسيقات ملفات المستندات الشخصية: 'doc (.doc؛ .docx، .pdf؛ .xls؛ .xlss؛ .ppt؛)'
◦ تنسيق ملفات الأرشيف: "arc (.zip؛ .rar؛ .bz2؛ .7z؛)"
◦ تنسيق ملفات قاعدة البيانات: "dbf (.dbf ؛)"
◦ تنسيق ملف تشفير SafeDis: "1c8 (.1cd ؛)"
◦ تنسيق ملف الصورة: "jpg (.jpg؛)"

• يبحث أيضًا عن برامج قواعد البيانات والبريد والخادم المعروفة:

◦'1c8.exe؛ 1cv77.exe؛ outlook.exe؛ postgres.exe؛ mysqld-nt.exe؛ mysqld.exe؛ sqlservr.exe؛ '

◦ 'FirebirdGuardianDefaultInstance؛ FirebirdServerDefaultInstance؛ sqlwriter؛ mssqlserver؛ Sqlserveradhelper؛'

• Dhama 2.0 ينسخ نفسه في ثلاثة مواقع مختلفة
◦ '٪ appdata٪'
◦ '٪ windir٪ \ system32'
◦ '٪ sh (بدء التشغيل)٪'

• يقوم بإنشاء أنبوب ، "٪ comspec٪" ، باستخدام الأمر "C: \ windows \ system32 \ cmd.exe":

• يجمع تفاصيل حول ملفات التمهيد مثل "boot.ini" و "bootfont.bin" وغيرها:

• يتم حفظ نص مذكرة الفدية في ملف يسمى "FILES ENCRYPTED.txt":

• "Info.hta" لعرض رسالة الفدية للضحية:

• تم سحب امتداد التشفير من المخزن المؤقت ". [bitlocker@foxmail.com]"

• يقوم Dharma بعد ذلك بإنشاء نسخة مشفرة من الملف الأصلي بالامتداد الجديد:


• يقوم بعد ذلك بحذف الملف الأصلي ويكرر الحلقة حتى يتم تشفير كل محرك أقراص وملف. تبدو الملفات النهائية المشفرة كما يلي:

• هذه هي رسالة الفدية التي تظهر للضحية عند تشغيل جهاز الكمبيوتر في المرة التالية:

الموارد ذات الصلة

رانسومواري الهجوم

برنامج الحماية من برامج الفدية

تحقق من سلامة الموقع

موقع النسخ الاحتياطي

هجوم DDoS

حالة الموقع

ماسح البرمجيات الخبيثة

مدقق الموقع

التحقق من سلامة الموقع

وظيفة تستمر Dharma 2.0 Ransomware في إحداث فوضى مع متغير جديد ظهرت للمرة الأولى على أخبار كومودو ومعلومات أمن الإنترنت.

• كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. دخول مجاني.
• كريبتوهوك. الرادار. تجربة مجانية.
• المصدر: https://blog.comodo.com/pc-security/dharma-2-0-ransomware-continues-with-new-variant/