یک بدافزار قدیمی دارای قابلیت شرورانه‌ی جدیدی شده است.

تروجان راخنی (Trojan-Ransom.Win32.Rakhni) اولین بار در سال 2013 کشف و شناخته شد. این بدافزار حالا به افراد شرور این قابلیت را می‌دهد که قربانی‌ها را دچار رمزگذاری کند.(پرسش و پاسخ‌های متداول در ارتباط با باج افزار(RANSOMWARE))

آنها از این رمزنگاری برای گرفتن باج و یا استخراج کامل استفاده میکنند. به عبارتی افراد میتوانند پول را به‌صورت باج از قربانی‌ها دریافت کنند یا CPU کامپیوتر را با استخراج‌کننده‌ها مال خود کنند.

مطالعه نمایید: ۲۰ نمونه جالب از آمار بدافزار

محققان آزمایشگاه Kaspersky در گزارشی گفته اند:

مجرمان به هر نحوی و از راههای مختلف به دنبال سو استفاده و بهره‌برداری از قربانیان هستند.

• از طریق برداشتن مستقیم پول (رمزگذاری کننده‌ها encryptor)
• با استفاده‌ی بدون اجازه از اطلاعات دیگران به نفع خود (استخراج‌کننده‌ها‌ یا miner)

مطالعه نمایید: به گفته محققان بدافزار غیر متعارف در حال افزایش است.

و اگر این دو راه مؤثر واقع نشوند، با وجود راخنی (Rakhni)، می‌توان از راه سومی هم استفاده کرد.

• درگیر کردن قربانی با توزیع زنجیره‌ای بدافزارها (net-worm).

البته واقعاً امیدوار هستیم که این روش به یک کار فراگیر تبدیل نشود.

این بدافزار ابتدا به‌صورت اسپمی در ایمیل پخش شد

این بدافزار که قربانیان بیشتری در روسیه دارد، ابتدا به‌صورت اسپمی در ایمیل پخش شد. ایمیل‌های مخصوص گرفتن اطلاعات که محققان باور دارند دارای مدارک جعلی شرکت‌ها بوده‌اند.

این ایمیل ها آنها را متقاعد کرده که هدف اصلی مجرمان شرکت‌ها هستند. بعد از باز کردن فایلی که همراه با ایمیلی به افراد رسیده است، قربانیان این امکان را پیدا می‌کنند تا فایلی را ویرایش کنند که ایمیل می‌گوید یک فایل PDF است.

وقتی‌که قربانی روی PDF کلیک کند، این کار یک برنامه‌ی شرور را راه‌اندازی می‌کند. بعد از اجرای برنامه، دانلود کننده (یک فایل قابل‌اجرا به زبانی خاص) پیامی را برای قربانی باز می‌کند که پیام خطایی از سمت برنامه‌ی Adobe است – و این کار باعث می‌شود قربانی از این‌که به ویروس آلوده‌شده مطلع نشود و به آن شک نکند.

Rakhni و Adobe

محققان باور دارند که برای پنهان کردن حضور نرم‌افزار شرور در دستگاه، سازنده‌ی این بدافزار کاری کرد تا مخلوقش به‌صورت محصولی از Adobe به نظر برسد.این کار حتی در نماد برنامه، اسم فایل قابل‌اجرا و امضاهای جعلی دیجیتالی که از اسم شرکت Adobe استفاده می‌کنند هم دیده می‌شود.

وقتی برنامه دانلود شده باشد، بر اساس نظر محققان این بدافزار تصمیماتش را برای دانلود cryptor یا miner تنظیم می‌کند که بستگی به حضور کیف پولی مجازی با اعتبارات مجازی مثل بیتکوین و موارد مشابه بر روی دستگاه دارد. اگر چنین پوشه‌هایی وجود داشته باشند، برنامه‌ی دانلود کننده تصمیم می‌گیرد تا cryptor را دانلود کند.

درعین‌حال اگر چنین پوشه‌هایی وجود نداشته باشند و دستگاه بیش از دو پردازشگر باشد miner دانلود خواهد شد.

در ایمیلی که ما دریافت کرده‌ایم، به ما گفته شده است که تعداد پردازشگرها به این معنی است که یک کامپیوتر می‌تواند چند کار را به‌صورت هم‌زمان انجام دهد. به‌صورت فرضی مجرمان تصمیم می‌گیرند که اگر دستگاهی که کنترل آن را به دست گرفته‌اند، به‌اندازه‌ی کافی قوی است (یعنی بیش از دو پردازشگر دارد) پس استخراج ارز رمزگذاری شده روی این سخت‌افزار برای آن‌ها سود بیشتری دارد تا این‌که بخواهند پولی از صاحب آن بگیرند.

اگر چنین پوشه‌هایی موجود باشند، تروجان یک آرشیو رمزدار را در این مسیر دانلود می‌کند. (C:\Documents and Settings\username\Start Menu\Programs\Startup)) این مسیر دارای یک واحد رمزگذاری شده است.

محققان می‌گویند که این برنامه‌ی cryptor دارای اسم taskhost.exe خواهد بود.

به طرز جالبی، این برنامه تنها زمانی شروع به کار می‌کند که دستگاه برای دو دقیقه یا بیشتر بیکار باشد . بعدازآن این برنامه دسته‌ای از فایل‌ها را رمزگذاری می‌کند و آن‌ها را به .neitrino بدل خواهد کرد.

در هر بخش رمزگذاری شده، cryptor فایلی به نام MESSAGE.txt می‌سازد که حاوی پیام باج‌خواهی است.

یادداشتی که برای باج گرفتن است، داخل خود ایمیلی از مهاجم و مهلتی برای پرداخت دارد. در این یادداشت به قربانی هشدار می‌دهد که اگر سعی کند رمزگذاری را غیرفعال کند، باعث از بین رفتن و فاسدشدن اطلاعات خود خواهد شد. حتی اگر این کار با موفقیت انجام نپذیرد.

آخرین جمله‌ی این یادداشت به قربانی اطلاع می‌دهد که همه‌ی درخواست‌ها توسط سیستمی خودکار پردازش می‌شوند.

غیرفعال کردن رمزگذاری راخنی

با ذکر این مطلب باید در نظر داشته باشیم، ابزارهای غیرفعال کردن رمزگذاری راخنی در دسترس هستند.

در همین حین اگر پوشه‌ی ارز رمزگذاری شده وجود نداشته باشد، تروجان خودش یک واحد استخراج‌کننده دانلود می‌کند و رونوشت VBS را با فرمان استخراج ارزهای رمزگذاری شده‌ی Monero یا Dashcoin تولید می‌کند. بر اساس گفته‌های محققان مهاجم برای این‌که استخراج‌کننده را به‌صورت پردازشی قابل‌اعتماد جلوه دهد به آن گواهی جعلی شرکت مایکروسافت را می‌دهد و اسم آن را svchost.exe می‌گذارد.

اگر دستگاه هیچ پوشه‌ای برای ارزهای رمزگذاری شده نداشته باشد، و فقط یک پردازشگر فعال داشته باشد، برنامه‌ی دانلود کننده سراغ راه دیگری می‌رود.

این روش آخر به بدافزار اجازه‌ی استفاده از قابلیت‌های کرم‌های اینترنتی را می‌دهد تا خودش را روی همه‌ی کامپیوترهای شبکه‌ای محلی کپی کند.محققان می‌گویند به‌عنوان آخرین روش دانلود کننده سعی می‌کند خود را روی کامپیوترهای متصل به شبکه‌ای محلی کپی کند.

برای این کار این برنامه سراغ فرمان ‘net view /all’ می‌رود که همه‌ی اشتراکات با کامپیوترها و شبکه‌های دیگر را برمی‌گرداند. و بعد تروجان فایلی به اسم list.log می‌سازد. این فایل حاوی اسم کامپیوترها و منابع مشترک با کامپیوتر مبدأ است.

تروجان راخنی در طول سال‌ها تغییر کرده است و این قابلیتی که ذکر شد آخرین توانایی آن بوده است.

سازنده‌های بدافزارها هم در طول سال‌ها تغییراتی روی تروجان داده‌اند تا نوع کلیدیابی آن را تغییر دهند. بطوریکه از شبکه‌های محلی، خود را به سرورهای کنترل و فرمان‌بری برساند. همچنین روش توزیع بدافزار خود را هم تغییر داده‌اند. مانند تغییر از اسپم به روش‌هایی مثل اجرای از راه دور.