باج افزار جدید چینی به دنبال سازمان های بزرگ

یک نوع باج‌افزار نوین و در حال توسعه‌ توسط محققان Symantec معرفی شده که در حملات بسیار هدفمند به سازمان‌های تجاری استفاده شده است. این بدافزار که به عنوان Yanluowang (نام یکی از خدایان باستانی چین که به عنوان دهمین پادشاه جهنم در نظر گرفته شده است) نام‌گذاری شده و پسوندی با همین عنوان نیز به فایل‌های رمزگذاری شده اضافه می‌کند.

این باج‌افزار در روند شناسایی و تحقیق پیرامون فعالیت مشکوک ابزار AdFind command line Active Directory query در یک سازمان مهم دیده شد. AdFind معمولاً توسط اپراتورهای باج افزار برای کارهای شناسایی از جمله دسترسی به اطلاعات مورد نیاز برای ورود به شبکه قربانیان استفاده می‌شود.

تهدید قربانیان

زمانی که محققان تنها به استفاده مخرب از AdFind مشکوک بودند، مهاجمان در تلاش بودند تا پی لود باج افزار Yanluowang را در سیستم‌های سازمان‌های آسیب دیده مستقر کنند.

آنها پیش از استقرار در شبکه آسیب دیده، یک ابزار مخرب را برای انجام اقدامات زیر راه اندازی می‌کنند:

• یک فایل txt. با تعدادی سیستم از راه دور برای بررسی command line ایجاد می‌کنند
• از ابزار WMI برای به دست آوردن لیستی از فرآیندهای در حال اجرا بر روی سیستم‌های راه دور فهرست شده در فایل txt. استفاده می‌کنند
• نام همه پردازه‌ها و سیستم‌های از راه دور را به process.txt وارد می‌کنند

Yanluowang پس از استقرار در شبکه، ماشین‌های مجازی hypervisor را متوقف می‌کند، تمام پردازه‌های جمع آوری شده توسط ابزارهایی از جمله SQL و Veeam را خاتمه می‌دهد و در نهایت فایل‌ها را رمزگذاری کرده و پسوند yanluowang. را ضمیمه می‌کند.

همچنین، یک یادداشت به نام README.txt در سیستم‌های رمزگذاری شده می‌اندازد و به قربانیان خود هشدار می‌دهد با مجریان قانون تماس نگیرند و یا از شرکت‌های مذاکره کننده باج افزار درخواست کمک نکنند و در صورت نقض این قوانین نیز، قربانیان را به انجام حملات منع سرویس (DDoS) تهدید می‌کند.

در نهایت با بکارگیری روش مرسوم باج افزارها برای دریافت باج، قربانیان را با تکرار حمله و پاک کردن داده‌ها می‌ترساند. با این که Yanluowang بدافزاری در حال توسعه و گسترش می‌باشد، اما بسیار خطرناک بوده و می‌تواند تهدیدی بزرگ برای سازمان‌ها به شمار آید.