باج‌افزار Dharma 2.0 همچنان با نسخه جدید ویران می‌کند

زمان خواندن: 6 دقیقهتیم امنیت سایبری Comodo عملکرد درونی آخرین گونه از این تهدید مداوم را فاش می کند.

تیم امنیت سایبری Comodo دائماً آخرین باج‌افزار را بررسی می‌کند تا به محافظت بهتر از کاربرانمان کمک کند و یافته‌های خود را با جوامع گسترده‌تر نت‌س‌ک و آنتی‌ویروس به اشتراک بگذارد. امروز می خواهیم در مورد یک نسخه جدیدتر به شما بگوییم باجافزار نام دارما نسخه 2.0.

این بدافزار اولین بار در سال 2016 با نام CrySIS ظاهر شد. سیستم‌های ویندوز را هدف قرار داده و فایل‌های قربانی را با الگوریتم‌های قوی AES-256 و RSA-1024 رمزگذاری می‌کند، قبل از اینکه بیت‌کوین باج بگیرد. مانند تقریباً همه گونه‌های باج‌افزار، فایل‌ها بدون کلید رمزگشایی کاملاً غیرقابل بازیابی هستند و قربانی باید برای دریافت کلید باج را بپردازد.

تروجان دارما با اعمال گذرواژه‌های ضعیف بر روی اتصالات RDP یا با واداشتن قربانی به باز کردن یک پیوست ایمیل مخرب ارائه می‌شود. روش اول شامل اسکن مهاجم پورت 3389 برای اتصالاتی است که از پروتکل RDP استفاده می کنند. هنگامی که یک هدف پیدا شد، مهاجم سعی می‌کند با استفاده از خودکار رمزهای عبور مختلف از یک کتابخانه عظیم رمزهای عبور شناخته‌شده، وارد اتصال شود تا زمانی که یکی از آنها کار کند. از آنجا، مهاجم کنترل کاملی بر ماشین هدف دارد و آن را اجرا می کند باج افزار دارما به صورت دستی روی فایل های کاربر

روش دوم یک حمله ایمیل کلاسیک است. قربانی ایمیلی دریافت می کند که به نظر می رسد از طرف ارائه دهنده آنتی ویروس واقعی آنها آمده است. این شامل یک هشدار در مورد بدافزار در دستگاه آنها است و به آنها دستور می دهد که فایل آنتی ویروس پیوست شده را برای حذف تهدید نصب کنند. البته، پیوست یک برنامه آنتی ویروس نیست، Dharma 2.0 است، که سپس فایل های کاربر را رمزگذاری می کند و برای باز کردن آنها باج می خواهد.

در فوریه 2020 ، امنیت سایبری کومودو تیم آخرین تکامل این را کشف کرد بدافزار، دارما 2.0. این نسخه شامل عملکرد اصلی رمزگذاری و سپس باج گیری نسخه های قبلی است، اما همچنین حاوی یک درب پشتی اضافی است که قابلیت های مدیریت از راه دور را اعطا می کند. بیایید با کمک تیم امنیت سایبری Comodo نگاهی دقیق به جزئیات Dharma 2.0 بیندازیم.

سلسله مراتب اجرای فرآیند دارما 2.0

درخت اجرای بدافزار در تصویر زیر نشان داده شده است و «Wadhrama 2.0.exe» در سر فهرست قرار دارد:

این بدافزار از ابزار حالت دستگاه DOS برای جمع‌آوری اطلاعات در مورد صفحه‌کلید قربانی استفاده می‌کند و هرگونه کپی سایه‌ای از فایل‌های او را حذف می‌کند. دستور 'vssadmin delete shadows /all /quiet' معمولاً در باج افزار برای حذف نقاط بازیابی ویندوز موجود استفاده می شود و کاربر را از نسخه پشتیبان از فایل های خود ربوده است:

با از بین رفتن کپی های سایه، کاربران نمی توانند فایل های خود را بازیابی کنند، مگر اینکه یک نسخه پشتیبان خارجی و شخص ثالث در محل خود داشته باشند. بسیاری از کسب‌وکارها چنین پشتیبان‌هایی در اختیار دارند، اما تعداد هشداردهنده‌ای ندارند.

پس از رمزگذاری تمام فایل‌ها روی رایانه، مهاجم اکنون به راهی برای انتقال دستورالعمل‌های خود به قربانی نیاز دارد. این کار را با استفاده از "mshta.exe" برای باز کردن "Info.hta" به عنوان یک اجرای خودکار با دستور انجام می دهد.

'C:UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartupInfo.hta'.

'Info.hta' فایلی است که حاوی یادداشت باج است:

"همه فایل های شما رمزگذاری شده اند!"

تجزیه و تحلیل دینامیک دارما 2.0

Wadhrama 2.0.exe دو فایل sql، "about.db" و "about.db-journal" را در <%usersadministratorappdatalocaltemp%> ایجاد می کند. یک کپی از خود در <%system32%>، <%startup%> ایجاد می کند و پسوند "[bitlocker@foxmail.com ].wiki" را به انتهای همه فایل های رمزگذاری شده اضافه می کند:

c:usersadministratorappdatalocaltemabout.db
c:usersadministratorappdatalocaltemabout.db-journal
c:windowssystem32Wadhrama 2.0.exe
c:usersadministratorappdataroamingmicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c:programdatamicrosoftwindowsstart menuprogramsstartupWadhrama 2.0.exe
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500desktop.ini.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:bootbootstat.dat.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:bootsect.bak.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-coffice64ww.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:config.sys.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:msocacheall users{90120000-0012-0000-0000-0000000ff1ce}-csetup.xml.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:autoexec.bat.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$r1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki
c:$recycle.bins-1-5-21-2565079894-3367861067-2626173844-500$i1vq4s7.exe.id-5A3EBE7D.[bitlocker@foxmail.com ].wiki

تجزیه و تحلیل استاتیک دارما 2.0

تیم امنیت سایبری پیچیدگی رمزگذاری Dharma 2.0 را با ایجاد سه فایل متنی 5 خطی یکسان با محتوای زیر آزمایش کرد:

ما این سه فایل را به‌عنوان «autorun.inf»، «boot.sdi» و «bootsect.exe» نام‌گذاری کردیم و هر کدام را به مکان دیگری منتقل کردیم. از آنجایی که فایل‌ها همگی از نوع، اندازه و محتوای یکسان هستند، همه آنها دارای امضای SHA1 یکسان هستند - 9ea0e7343beea0d319bc03e27feb6029dde0bd96.

این یک اسکرین شات از فایل ها قبل از رمزگذاری توسط دارما است:

پس از رمزگذاری، هر کدام اندازه و امضای فایل متفاوتی دارند:

Dharma 2.0 محموله

• دارما 2.0 دو فایل پایگاه داده به نام‌های «about.db» و «about.db-journal» را در «<%AppData%>\local\temp» ایجاد می‌کند. فایل ها فایل های SQLite هستند و حاوی موارد زیر هستند

جداول - "تنظیم" و "نقشه کلید". پایگاه داده ها دستورات مدیریت از راه دور مانند /eject/eject را می دهند ، /runas/runas ، /syserr/syserr ، /url/url ،

/runscreensaver/runscreensaverd، /shutdisplay/shutdisplayd، /edithost/edithostsd،

/restart/restard، /shutdown/shutdownd/logoff/logoffd، /lock/lockd،/quit/quitd،/config/configd

/درباره/درباره.

• Dharma 2.0 دو شیء mutex به نام‌های «Global\syncronize_261OR3A» و «Global\syncronize_261OR3U» ایجاد می‌کند. اشیاء Mutex مقدار فرآیندهایی را که می توانند به یک قطعه خاص از داده دسترسی داشته باشند محدود می کنند. این به طور موثر داده ها را از سایر فرآیندها قفل می کند تا رمزگذاری بدون وقفه انجام شود.

• Dharma 2.0 پسوندهای فایل زیر را برای رمزگذاری جستجو می کند:
◦ فرمت های فایل اسناد شخصی: 'doc(.doc;.docx,.pdf;.xls;.xlss;.ppt;)'
◦ فرمت فایل های آرشیو: 'arc(.zip;.rar;.bz2;.7z;)'
◦ فرمت فایل های پایگاه داده: 'dbf(.dbf;)'
◦ فرمت فایل رمزگذاری SafeDis: '1c8(.1cd;)'
◦ فرمت فایل تصویر: 'jpg(.jpg;)'

• همچنین پایگاه داده معروف، ایمیل و نرم افزار سرور را جستجو می کند:

◦'1c8.exe;1cv77.exe;outlook.exe;postgres.exe;mysqld-nt.exe;mysqld.exe;sqlservr.exe;'

◦'FirebirdGuardianDefaultInstance;FirebirdServerDefaultInstance;sqlwriter;mssqlserver;Sqlserveradhelper;'

• Dhama 2.0 خود را در سه مکان مختلف کپی می کند
◦ '%appdata%'
◦ '%windir%\system32'
◦ '%sh(راه اندازی)%'

• یک لوله، '%comspec%'، با دستور 'C:\windows\system32\cmd.exe' ایجاد می کند:

• جزئیات مربوط به فایل های بوت مانند 'boot.ini'، 'bootfont.bin' و موارد دیگر را جمع آوری می کند:

• متن یادداشت باج در فایلی به نام «FILES ENCRYPTED.txt» ذخیره می‌شود:

• 'Info.hta' برای نمایش پیام باج به قربانی:

• پسوند رمزگذاری از بافر ".[bitlocker@foxmail.com]" گرفته شده است.

Dharma سپس یک نسخه رمزگذاری شده از فایل اصلی با پسوند جدید ایجاد می کند:


• متعاقباً فایل اصلی را حذف می کند و حلقه را تا زمانی که هر درایو و فایل رمزگذاری شود تکرار می کند. فایل های رمزگذاری شده نهایی به صورت زیر هستند:

• این پیام باج‌گیری است که هنگام راه‌اندازی بعدی رایانه خود به قربانی نشان داده می‌شود:

منابع مرتبط

حمله باج افزار

نرم افزار محافظت از باج افزار

ایمنی وب سایت را بررسی کنید

پشتیبان گیری از وب سایت

حمله DDoS

وضعیت وب سایت

اسکنر بدافزار وب سایت

وب سایت جستجوگر

بررسی ایمنی وب سایت

پست باج‌افزار Dharma 2.0 همچنان با نسخه جدید ویران می‌کند به نظر می رسد برای اولین بار در اخبار Comodo و اطلاعات امنیت اینترنت.

• Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی رایگان.
• CryptoHawk. رادار آلت کوین امتحان رایگان.
• منبع: https://blog.comodo.com/pc-security/dharma-2-0-ransomware-continues-with-new-variant/