فروش Builder نگارش جدیدی از باجافزار Chaos با نام Yashma در حداقل یکی از تالارهای گفتگوی مهاجمان در حال تبلیغ است. Yashma را نمیتوان باجافزاری چندان پیچیده قلمداد کرد. اما بهاشتراکگذاری Builder آن در کانال تلگرام یک گروه هکری ایرانی موجب شد تا در این گزارش کوتاه مروری بر آن داشته باشیم.
نگارشی جدید از Chaos
در اوایل اردیبهشت مطلب زیر به همراه تصویری از Builder باجافزار Yashma در یکی از فرومهای معروف هکرها منتشر شد:
As I promised I am here with new version of Chaos ransomware:
In this version:
1. New name for fast and better ransomware
2. Fast encryption – 4-5 times faster than before (with multi threading)
3. Fast decryption – 4-5 times faster than before (with multi threading)
4. Added “stop backup and anti malware services” feature
5. Fixed bug in dropped file name. Now you can add your own type of filename for example readme.html
6. Improved aes encrypting method
50% discount will be added for any type of bug report.
باجافزار Chaos که در مطلب بالا از آن بهعنوان پایه و اساس Yashma یاد شده در تابستان 1400 ظهور کرد. در آن زمان نویسنده یا نویسندگان Chaos مدعی بودند که Builder آن نگارشی از باجافزار بسیار معروف Ryuk است که با Net. بازنویسی شده. ادعایی که از سوی برخی شرکتهای امنیتی از جمله Trend Micro رد شد. طی ماههای بعد چندین نسخه دیگر از Chaos بدون ذکر نامی از Ryuk عرضه شد.
اکنون به نظر میرسد که نویسنده یا نویسندگان Chaos (به معنای «آشوب») بر آن شدهاند تا این باجافزار را با نام جدید Yashma به بازار عرضه کنند.
انتشار در کانال تلگرام
23 اردیبهشت 1401، آروین که یک گروه هکری ایرانی است و اجرای چندین حمله باجافزاری را در کارنامه دارد اقدام به انتشار Yashma Builder در کانال تلگرامی خود کرد.
اگرچه در نام فایل نسخه 1.2 درج شده اما در مشخصات فایل نسخه 2.0.0.1 ثبت شده است.
در بخش About برنامه به یک نشانی بیتکوین اشاره شده که بر اساس گزارشی از شرکت SentinelOne قبلا در باجافزار Chaos نیز از همین آدرس استفاده شده بوده.
رابط کاربری Yashma Builder بسیار ساده بوده و به سادگی و بدون هر گونه پیچیدگی امکان ساخت باجافزار را حتی برای افراد غیرحرفهای فراهم میکند.
امکانات
از جمله امکانات که Yashma Builder در اختیار مشتری قرار میدهد میتوان به موارد زیر اشاره کرد:
- تعیین پسوند فایلهای رمزنگاریشده
- فعال کردن علملکرد «کرم» (Worm) و کپی رونوشتی از فایل مخرب در درایوها بر اساس نام تعیینشده از سوی مشتری
- تعیین نام پروسه
- تعیین نام فایل متن باجگیری یا همان Ransom Note
- درج محتوای فایل متن باجگیری
- تعیین پسوندهایی که باجافزار اقدام به رمزنگاری آنها خواهد کرد
- فعالسازی قابلیتهای حذف نسخ Volume Shadow Copies، حذف Catalog نسخه پشتیبان، از کار انداختن حالت Recovery، متوقف کردن Task Manager و سرویسهای تهیه نسخه پشتیبان و ضدبدافزار
- معرفی یک تصویر برای تغییر پسزمینه Desktop قربانی
Yashma Builder تنها یک نمونه از ابزارهای قابلدسترسی است که هر فرد با نیتی پلید را میتواند تبدیل به باجگیری مخرب کند. مؤثرترین راهکار در مقابله با تهدیدات باجافزاری، پیشگیری از ورود آنها به سازمان است. اگر علاقمند به کسب اطلاعات بیشتر در خصوص باجافزارها هستید مطالعه این گزارش فنی را به شما پیشنهاد میکنیم.
نشانههای آلودگی
هش SHA-1 نمونه باجافزار Yashma که در این مطلب بررسی شد به شرح زیر میباشد: