نسخه جدیدی از باج‌افزار Dharma با نام Cmb

.

در روز پنجشنبه (۱۸ مرداد) نسخه جدیدی از باج‌افزار Dharma کشف شد که پس از رمزگذاری فایل‌ها، به آنها پسوند .cmb را اضافه می‌کند. ویرایش cmb باج‌افزار Dharma زمانی کشف شد که نمونه‌هایی از آن در ID Ransomware بارگذاری شد. ID Ransomware وب‌سایتی است که جزئیات باج‌افزارهای مختلف و نمونه‌های آن‌ها به منظور اطلاعرسانی، در آن بارگذاری می‌شود.
متاسفانه در حال حاضر روشی برای رمزگشایی فایل‌های آلوده به این باج‌افزار وجود ندارد. این باج‌افزار بصورت دستی و از طریق هک سرویس‌های پروتکل Remote Desktop (RDP) روی رایانه‌ها نصب می‌شود. مهاجمین اینترنت را اسکن می‌کنند تا رایانه‌هایی را پیدا کنند که در حال اجرای RDP هستند. این اسکن معمولا روی پورت ۳۳۸۹ TCP انجام می‌شود. سپس با حملات brute force (حدس رمزعبور) نفوذ به رایانه انجام می‌شود.
زمانی که باج‌افزار cmb نصب شود، رایانه را برای یافتن فایل‌های مختلف اسکن و سپس آنها را رمزگذاری می‌کند. پس از رمزگذاری، به انتهای نام فایل الگو .id-[id].[email].cmb اضافه می‌شود. برای مثال فایل test.jpg به test.jpg.id-BCBEF۳۵۰.[paymentbtc.firemail.cc].cmb تغییر می‌کند.
این باج‌افزار درایوهای شبکه نگاشت یافته (mapped network drives)، درایوهای میزبان ماشین مجازی اشتراکی (shared virtual machine host drives) و شبکه‌های اشتراکی نگاشت نیافته (unmapped network shares) را نیز رمزگذاری می‌کند. از این رو دسترسی به شبکه های اشتراکی باید محدود شود. در تصویر زیر پوشه‌ای نمایش داده شده که فایل‌های آن توسط باج‌افزار Cmb رمزگذاری شده‌اند:
 

 

باج‌افزار دو پیام را در رایانه آلوده قرار می‌دهد. فایل اول (Info.hta) نحوه پرداخت باج برای بازیابی اطلاعات است که در autorun و هنگام ورود کاربر به سیستم نمایش داده میشود:

 
 

فایل دوم FILES ENCRYPTED.txt است:
 

 

درنهایت باج‌افزار به گونه‌ای پیکربندی می‌شود که هنگام شروع به کار ویندوز به صورت خودکار اجرا شود و فایل‌های جدید را رمزگذاری کند.
با توجه به اینکه، هنوز راهی برای بازیابی فایل‌ها وجود ندارد. توصیه می‌شود ملاحظات امنیتی جدی گرفته شوند. در خصوص این باج‌افزار، بهتر است ارتباط رایانه‌هایی که از RDP استفاده می‌کنند، از اینترنت قطع شوند و در صورت نیاز به استفاده از آن، از ارتباطات امن استفاده شود.
مشابه سایر باج‌افزارها، برای این باج‌افزار نیز توصیه‌های عمومی زیر باید مدنظر قرار گیرند:
•    تهیه فایل پشتیبان و قابل بازیابی از فایلهای مهم
•    بازنکردن پیوست ایمیلهایی که از منابع نامعتبر ارسال شدهاند
•    اسکن پیوست ایمیلها 
•    عدم اتصال مستقیم سرویسهای Remote Desktop به اینترنت و استفاده از اتصالات امن پیش از اتصال
•    بروزرسانی سیستمعامل و سایر نرم افزارها

IoCها:
Hash:

    c۲ab۲۸۹cbd۲۵۷۳۵۷۲c۳۹cac۳f۲۳۴d۷۷fdf۷۶۹e۴۸a۱۷۱۵a۱۴feddaea۸ae۹d۹۷۰۲   •

فایل‌های مرتبط:

    %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta   •
    %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\cmb_ransomware.exe   •
   %Appdata%\Info.hta   •
    %UserProfile%\Desktop\FILES ENCRYPTED.txt   •
    C:\Users\Public\Desktop\FILES ENCRYPTED.txt   •

ورودی‌های رجیستری مرتبط:

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmb_ransomware.exe   •
  C:\Windows\System۳۲\cmb_ransomware.exe    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\Windows\System۳۲\Info.htamshta.exe  •
“C:\Windows\System۳۲\Info.hta”
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%Appdata%\Info.htamshta.exe “%Appdata%\Info.hta”  • 

منبع: