گسترش باجافزار Yatron از طریق اکسپلویت EternalBlue
باجافزار جدیدی به نام Yatron کشف شده که قصد دارد از اکسپلویتهایEternalBlue و DoublePulsar برای گسترش خود به سایر رایانهها در شبکه استفاده کند
به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، یک باجافزار به عنوان سرویس (RaaS) جدیدی به نام Yatron کشف شده که قصد دارد از اکسپلویتهایEternalBlue و DoublePulsar برای توزیع و گسترش خود به سایر رایانهها در شبکه استفاده کند. همچنین این باجافزار در صورت پرداختنشدن مبلغ باج درخواستی در مدت ۷۲ ساعت اقدام به حذف فایلهای رمزگذاریشده میکند.
به گزارش معاونت بررسی مرکز افتا، به نقل از وبسایت BleepinComputer، عامل پشت این باجافزار به طرز عجیبی در حال پخش و گسترش این سرویس با ارسال توییت به پژوهشگران باجافزار و پژوهشگران امنیتی مختلف است. مانند هر باجافزار دیگر، بعد از اجرا، باجافزار رایانه را برای یافتن فایلهای هدف بررسی و آنها را رمزگذاری میکند. هنگام رمزگذاری یک فایل، پسوند Yatron. را به نام فایل رمزگذاریشده اضافه میکند. پس از اتمام رمزگذاری فایلها، گذرواژه و شناسه منحصر به فرد رمزگذاری را به سرور فرمان و کنترل باجافزار ارسال میکند. این باجافزار بر اساس HiddenTear طراحی شده، اما الگوریتم رمزنگاری آن اصلاحشده است تا با استفاده از روشهای فعلی رمزگشایی نشود.
Yatron حاوی کدی برای استفاده از اکسپلویتهای EternalBlue و DoublePulsar است تا با استفاده از آسیبپذیریهای SMBv۱، که مدتها قبل باید رفع میشدند، خود را در سیستمهای ویندوزی که در شبکه یکسان هستند، گسترش دهد. خوشبختانه کد استفاده از دو اکسپلویت EternalBlue و DoublePulsar هنوز ناقص است و باجافزار در حال حاضر قابلیت استفاده از فایل اجرایی این دو اکسپلویت که بر آنها متکی است را ندارد.
علاوه بر بهرهبرداری از آسیبپذیریها،Yatron تلاش میکند از طریق برنامههای P۲P و با کپیکردن فایل اجرایی خود به پوشههای پیشفرض مورد استفاده برنامههایی مانند Kazaa، Ares،eMule و غیره، گسترش یابد. هنگام شروع این برنامهها، باجافزار به طور خودکار توسط کاربر P۲P به اشتراک گذاشته میشود.
بعد از پایان رمزگذاری، باجافزار رابطی را نمایش میدهد که حاوی شمارشگری با ۷۲ ساعت مهلت تا پاکشدن فایلهای رمزگذاریشده است. برای محافظت فایلها دربرابر حذفشدن، کاربر میتواند فرآیند باجخواهی را با اجرای ابزاری مانند Process Explorer در سطح ادمین متوقفکند.
Yatron به عنوان یک باجافزار به عنوان سرویس (RaaS) معرفی شده، اما کمی متفاوتتر از یک RaaS معمولی است. به طور معمول، هنگامی که مجرمان تازهکار به یک RaaS میپیوندند، توسعهدهنده سهمی از درآمد تمام باجهای پرداختشده را دریافت میکند. به عنوان مثال، برخی از RaaSها، ۲۰ درصد از تمام باجها را دریافت میکنند، در حالی که توزیعکنندهها ۸۰ درصد باقیمانده را به دست می آورند. این باجافزار تنها مبلغ ۱۰۰ دلار در ابتدا بصورت بیتکوین دریافت میکند و هیچ درصدی از باجها را درخواست نمیکند.
انتهای پیام/
