در روز پنجشنبه (۱۸ مرداد) نسخه جدیدی از باجافزار Dharma کشف شد که پس از رمزگذاری فایلها، به آنها پسوند .cmb را اضافه میکند. ویرایش cmb باجافزار Dharma زمانی کشف شد که نمونههایی از آن در ID Ransomware بارگذاری شد. ID Ransomware وبسایتی است که جزئیات باجافزارهای مختلف و نمونههای آنها به منظور اطلاعرسانی، در آن بارگذاری میشود.
متاسفانه در حال حاضر روشی برای رمزگشایی فایلهای آلوده به این باجافزار وجود ندارد. این باجافزار بصورت دستی و از طریق هک سرویسهای پروتکل Remote Desktop (RDP) روی رایانهها نصب میشود. مهاجمین اینترنت را اسکن میکنند تا رایانههایی را پیدا کنند که در حال اجرای RDP هستند. این اسکن معمولا روی پورت ۳۳۸۹ TCP انجام میشود. سپس با حملات brute force (حدس رمزعبور) نفوذ به رایانه انجام میشود.
زمانی که باجافزار cmb نصب شود، رایانه را برای یافتن فایلهای مختلف اسکن و سپس آنها را رمزگذاری میکند. پس از رمزگذاری، به انتهای نام فایل الگو .id-[id].[email].cmb اضافه میشود. برای مثال فایل test.jpg به test.jpg.id-BCBEF۳۵۰.[paymentbtc.firemail.cc].cmb تغییر میکند.
این باجافزار درایوهای شبکه نگاشت یافته (mapped network drives)، درایوهای میزبان ماشین مجازی اشتراکی (shared virtual machine host drives) و شبکههای اشتراکی نگاشت نیافته (unmapped network shares) را نیز رمزگذاری میکند. از این رو دسترسی به شبکه های اشتراکی باید محدود شود. در تصویر زیر پوشهای نمایش داده شده که فایلهای آن توسط باجافزار Cmb رمزگذاری شدهاند:
باجافزار دو پیام را در رایانه آلوده قرار میدهد. فایل اول (Info.hta) نحوه پرداخت باج برای بازیابی اطلاعات است که در autorun و هنگام ورود کاربر به سیستم نمایش داده میشود:
فایل دوم FILES ENCRYPTED.txt است:
درنهایت باجافزار به گونهای پیکربندی میشود که هنگام شروع به کار ویندوز به صورت خودکار اجرا شود و فایلهای جدید را رمزگذاری کند.
با توجه به اینکه، هنوز راهی برای بازیابی فایلها وجود ندارد. توصیه میشود ملاحظات امنیتی جدی گرفته شوند. در خصوص این باجافزار، بهتر است ارتباط رایانههایی که از RDP استفاده میکنند، از اینترنت قطع شوند و در صورت نیاز به استفاده از آن، از ارتباطات امن استفاده شود.
مشابه سایر باجافزارها، برای این باجافزار نیز توصیههای عمومی زیر باید مدنظر قرار گیرند:
• تهیه فایل پشتیبان و قابل بازیابی از فایلهای مهم
• بازنکردن پیوست ایمیلهایی که از منابع نامعتبر ارسال شدهاند
• اسکن پیوست ایمیلها
• عدم اتصال مستقیم سرویسهای Remote Desktop به اینترنت و استفاده از اتصالات امن پیش از اتصال
• بروزرسانی سیستمعامل و سایر نرم افزارها
IoCها:
Hash:
فایلهای مرتبط:
%Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\cmb_ransomware.exe •
%Appdata%\Info.hta •
%UserProfile%\Desktop\FILES ENCRYPTED.txt •
C:\Users\Public\Desktop\FILES ENCRYPTED.txt •
ورودیهای رجیستری مرتبط:
C:\Windows\System۳۲\cmb_ransomware.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\Windows\System۳۲\Info.htamshta.exe •
“C:\Windows\System۳۲\Info.hta”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%Appdata%\Info.htamshta.exe “%Appdata%\Info.hta” •
منبع: