کارشناسان امنیتی نوع جدیدی از باجافزارها (Ransomware) را شناسایی کردهاند که کاملا به زبان Jscript کدنویسی شده است و به صورت بالقوه تلاش میکنند تا مانع شناسایی توسط ابزارهای سنتی فیلترینگ گردند.
در ابتدا این فرضیه وجود داشت که باجافزار RAA به زبان Jscript نوشته شده است، اما طبق گفته Renaud Bidou، مدیر فنی Trend Micro این همهی ماجرا نیست. وی اظهار داشت که این تهدید جدید تحت عنوان RANSOM_JSRAA.A به زبان مخصوص سیستمهای ویندوز نوشته شده است-و توسط موتور Windows Scripting Host از طریق Internet Explorer و نه Edge اجرا میشود.
وی عنوان کرد: احتمالا کلاهبرداران سایبری از زبان برنامهنویسی JScript استفاده میکنند تا یک لایه پیچیدگی دیگری را در فرآیند شناسایی ایجاد نمایند در حالی که با این کار Polymorphism و ایجاد ابهام نیز تسهیل میگردد.
وی در ادامه افزود: مجرمان سایبری از ورود خود به یک عرصه رقابتی آگاه میباشند، بنابراین روی مدت زمانی که باجافزار آنها شناسایی نشده و موجب دستیابی آنها به سود بیشتر از سوی قربانیان این باجافزارها میگردد، سرمایهگذاری میکنند.
وی اظهار داشت که زبان برنامهنویسی JScript و دیگر نمونههای مشابه، زبانهایی با قابلیت انتقال بالا میباشند که از قابلیت اجرا بر روی اغلب سیستمهای مبتنی بر سیستم عامل ویندوز، بدون نیاز به هیچ گونه تغییر در کدها برخوردار میباشند.
وی در ادامه افزود: این باجافزار با کلیک بر روی فایل Attach شده به ایمیل اسپم و همچنین از طریق یک Object در برنامه Office یا حتی از طریق Command Line قابل اجرا میباشد. در این باجافزار رمزگذاری از طریق برنامه متن باز CryptoJS صورت میگیرد که از AES-128، AES-192 و AES-256 پشتیبانی نموده و 16 نوع فایل را رمزگذاری و تخریب میکند؛ البته قابل ذکر است که این باج افزار فایلهای موجود در دایرکتوریهایی مانند Recycle Bin، Program File، Temp و ویندوز را مورد حمله قرار نمیدهد.
در صورتی که رمزگذاری روی مهمترین فایلهای قربانی کافی نباشد، این باجافزار، بدافزار سرقت دادههای (Fareit (Pony را فعال مینماید که جهت سرقت اطلاعات اعتباری ذخیرهشده از Clientهای FTP، مرورگرهای وب، Clientهای ایمیل و همچنین Bitcoin Walletها طراحی شده است.
همچنین این بدافزار در صورت فعال شدن، پشتیبانگیری و بازیابی اطلاعات را غیرفعال نموده و ممکن است مشکلات بیشتری را برای Adminهای IT ایجاد نماید.
بهنظر میرسد باجافزار RAA یکی از پیچیدهترین انواع باجافزارها باشد. این باجافزار به ارائه پشتیبانی از طریق Bitmessage به عنوان یک پروتکل ارتباطات غیرمتمرکز P2P میپردازد که برای ارسال پیامهای رمزگذاریشده و همچنین ارائه پیشنهاد برای رمزگشایی چندین فایل نمونه به صورت رایگان استفاده میشود تا قانونی بودن این باجافزار را اثبات نماید.
Trend Micro به سازمانها توصیه میکند خطر حملهی باجافزارها را از طریق فرآیند پشتیبانگیری طبق قاعدهی 1-2-3 (حداقل سه نسخه در دو فرمت متفاوت به همراه یک نسخهی خارج از سازمانی) کاهش دهند.
همچنین به مدیران حوزهی امنیت IT پیشنهاد میکند که یک رویکرد لایهای را برای محافظت در مقابل تهدیدات اتخاذ کنند که درگاه ایمیل و وب، شبکه و سرورها را به منظور کاهش خطرات به نحوی جامع و فراگیر پوشش دهد.
