انتشار یک باج‌افزار ساده با آلوده‌سازی زنجیره تامین در کشور چین

براساس گزارش‌های منتشر شده، یک باج‌افزار جدید با آلوده‌سازی زنجیره تامین در کشور چین به سرعت در حال گسترش بوده و تنها در چهار روز گذشته بیش از ۱۰۰ هزار کامپیوتر را آلوده کرده است. به گفته محققان، هرچند که این باج‌افزار از پیچیدگی خاصی برخوردار نیست، اما هر ساعت بر تعداد قربانیان آن افزوده می‌شود.
تزریق باج‌افزار به زنجیره تامین

بررسی‌های اخیر محققان امنیتی نشان می‌دهد که باج‌افزاری جدید، با بهره‌گیری از چندین روش مختلف کاربران چینی را مورد هدف قرار داده و به‌سرعت در حال گسترش است.

به گفته محققان، این باج‌افزار به‌لحاظ ساخت و توسعه از پیچیدگی خاصی برخوردار نیست و با یک روش ابتدایی فایل‌های قربانیان خود را با استفاده از رمز XOR به‌صورت رمزگذاری شده در می‌آورد. همچنین این باج‌افزار به‌جای بیت‌کوین، از قربانیان خود می‌خواهد که مبلغ ۱۱۰ یوان (معادل ۱۶ دلار آمریکا) از طریق پرداخت درون برنامه‌ای در وی‌چت «WeChat Payment» پرداخت کنند. 

براساس گزارش‌های منتشر شده، این باج‌افزار جدید تنها در چهار روز گذشته بیش از ۱۰۰ هزار کامپیوتر را در کشور چین آلوده کرده است. بررسی‌ها نشان می‌دهد که این باج‌افزار همه فایل‌های کاربران، بجز فایل‌هایی با پسوندهای gif، exe و tmp را رمزگذاری می‌کند.

 

سرقت گذرواژه‌های کاربران توسط باج‌افزار

براساس گزارش وب‌سایت شبکه فناوری پکن «Huorong»، این باج‌افزار به‌طور اختصاصی کاربران چینی را مورد هدف خود قرار داده است. به‌صورتی که دارای قابلیتی متفاوت برای سرقت گذرواژه حساب‌های کاربری در سرویس‌هایی است که اغلب کاربران چینی از آن‌ها استفاده می‌کنند. گذرواژه‌های کاربران در سرویس‌های زیر، از جمله اهداف این باج‌افزار هستند.

Alipay
NetEase 163 email service
Baidu Cloud Disk
Jingdong (JD.com)
Taobao, Tmall
AliWangWang
QQ websites.

 

بهره‌برداری از آلوده‌سازی زنجیره تامین

به گفته محققان، سازندگان این باج‌افزار به نرم‌افزار برنامه‌نویسی «EasyLanguage» که بسیاری از توسعه‌دهندگان چینی از آن استفاده می‌کنند، کدهای مخرب این باج‌افزار را تزریق کرده‌اند. این نرم‌افزار برنامه‌نویسی که اکنون به یک نرم‌افزار مخرب ایجاد باج‌افزار تبدیل شده است، کدهای مخرب باج‌افزار را در تمام برنامه‌های تولید شده توسط این نرم‌افزار برنامه‌نویسی تزریق می‌کند. 

 

استفاده از امضای دیجیتالی سرقتی

یکی دیگر از نکات قابل توجه در این باج‌افزار، استفاده از امضای دیجیتالی به‌ سرقت رفته شرکت Tencent است. این موضوع باعث شده است که برخی از آنتی‌ویروس‌ها در شناسایی این باج‌افزار، موفق عمل نکنند.

 

 

توضیحات بیشتر در:

New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs