حملات جدید باج‌افزار SynAck

تکنیک پردازش Doppleganging برای اولین بار در دسامبر ۲۰۱۷ در کنفرانس BlackHat ارائه شد. از زمان این کنفرانس تاکنون، مهاجمان شروع به استفاده از این تکنیک پیچیده برای دور زدن راه‌حل‌های امنیتی مدرن نموده اند. کسپرسکی، در آوریل ۲۰۱۸ اولین باج‌افزار که از این تکنیک استفاده می‌کند، با عنوان SynAck را شناسایی نمود. لازم به ذکر است که باج‌افزار SynAck جدید نیست و حداقل از سپتامبر ۲۰۱۷ شناخته شده است، اما نمونه‌ای که اخیرا کشف شده است، بدلیل استفاده از تکنیک پردازش Doppleganging، مورد توجه قرار گرفته است.
تکنیک‌های مورد استفاده در این باج‌افزار که به منظور جلوگیری از شناسایی و تجزیه و تحلیل است، بصورت خلاصه در جدول زیر بیان شده است:
 

رمزگذاری فایل‌ها توسط این بدافزار بدین صورت است که محتوای هر فایل با الگوریتم AES-۲۵۶-ECB و توسط یک کلید تصادفی رمزگذاری می‌شود. فایل‌ها پس از رمزنگاری، با پسوندهای تولید شده بصورت تصادفی ذخیره می‌شوند که در شکل زیر نمونه‌ای از این فایل‌های رمز شده مشاهده می‌شود:

 

باج‌افزار SynAck قادر به اضافه کردن یک متن دلخواه به صفحه Login ویندوز است. این کار با تغییر LegalNoticeCaption و LegalNoticeText در رجیستری انجام می شود. در نتیجه، قبل از ورود کاربر به حساب کاربری خود، صفحه Login ویندوز پیامی از مهاجمان را نشان می‌دهد:

 

کشورهای مورد هدف این باج‌افزار شامل امریکا، کویت، آلمان و ایران هستند.


منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری