رامونا پردازش نگار

باج افزار Yashma

Yashma؛ باج‌افزاری از نسل آشوب

فروش Builder نگارش جدیدی از باج‌افزار Chaos با نام Yashma در حداقل یکی از تالارهای گفتگوی مهاجمان در حال تبلیغ است. Yashma را نمی‌توان باج‌افزاری چندان پیچیده قلمداد کرد. اما به‌اشتراک‌گذاری Builder آن در کانال تلگرام یک گروه هکری ایرانی موجب شد تا در این گزارش کوتاه مروری بر آن داشته باشیم.

 

نگارشی جدید از Chaos

 

در اوایل اردیبهشت مطلب زیر به همراه تصویری از Builder باج‌افزار Yashma در یکی از فروم‌های معروف هکرها منتشر شد:


As I promised I am here with new version of Chaos ransomware:

In this version:
1. New name for fast and better ransomware
2. Fast encryption – 4-5 times faster than before (with multi threading)
3. Fast decryption – 4-5 times faster than before (with multi threading)
4. Added “stop backup and anti malware services” feature
5. Fixed bug in dropped file name. Now you can add your own type of filename for example readme.html
6. Improved aes encrypting method
50% discount will be added for any type of bug report.

باج‌افزار Chaos که در مطلب بالا از آن به‌عنوان پایه و اساس Yashma یاد شده در تابستان 1400 ظهور کرد. در آن زمان نویسنده یا نویسندگان Chaos مدعی بودند که Builder آن نگارشی از باج‌افزار بسیار معروف Ryuk است که با Net. بازنویسی شده. ادعایی که از سوی برخی شرکت‌های امنیتی از جمله Trend Micro رد شد. طی ماه‌های بعد چندین نسخه دیگر از Chaos بدون ذکر نامی از Ryuk عرضه شد.

اکنون به نظر می‌رسد که نویسنده یا نویسندگان Chaos (به معنای «آشوب») بر آن شده‌اند تا این باج‌افزار را با نام جدید Yashma به بازار عرضه کنند.

 

انتشار در کانال تلگرام

 

23 اردیبهشت 1401، آروین که یک گروه هکری ایرانی است و اجرای چندین حمله باج‌افزاری را در کارنامه دارد اقدام به انتشار Yashma Builder در کانال تلگرامی خود کرد.

اگرچه در نام فایل نسخه 1.2 درج شده اما در مشخصات فایل نسخه 2.0.0.1 ثبت شده است.

در بخش About برنامه به یک نشانی بیت‌کوین اشاره شده که بر اساس گزارشی از شرکت SentinelOne قبلا در باج‌افزار Chaos نیز از همین آدرس استفاده شده بوده.

رابط کاربری Yashma Builder بسیار ساده بوده و به سادگی و بدون هر گونه پیچیدگی امکان ساخت باج‌افزار را حتی برای افراد غیرحرفه‌ای فراهم می‌کند.

 

امکانات

 

از جمله امکانات که Yashma Builder در اختیار مشتری قرار می‌دهد می‌توان به موارد زیر اشاره کرد:

  • تعیین پسوند فایل‌های رمزنگاری‌شده
  • فعال کردن علملکرد «کرم» (Worm) و کپی رونوشتی از فایل مخرب در درایوها بر اساس نام تعیین‌شده از سوی مشتری
  • تعیین نام پروسه
  • تعیین نام فایل متن باج‌گیری یا همان Ransom Note
  • درج محتوای فایل متن باج‌گیری
  • تعیین پسوندهایی که باج‌افزار اقدام به رمزنگاری آنها خواهد کرد
  • فعالسازی قابلیت‌های حذف نسخ Volume Shadow Copies، حذف Catalog نسخه پشتیبان، از کار انداختن حالت Recovery، متوقف کردن Task Manager و سرویس‌های تهیه نسخه پشتیبان و ضدبدافزار
  • معرفی یک تصویر برای تغییر پس‌زمینه Desktop قربانی

Yashma Builder تنها یک نمونه از ابزارهای قابل‌دسترسی است که هر فرد با نیتی پلید را می‌تواند تبدیل به باج‌گیری مخرب کند. مؤثرترین راهکار در مقابله با تهدیدات باج‌افزاری، پیشگیری از ورود آنها به سازمان است. اگر علاقمند به کسب اطلاعات بیشتر در خصوص باج‌افزارها هستید مطالعه این گزارش فنی را به شما پیشنهاد می‌کنیم.

 

نشانه‌های آلودگی

 

هش SHA-1 نمونه باج‌افزار Yashma که در این مطلب بررسی شد به شرح زیر می‌باشد:

878ad3025f8ea6b61ad4521782035963b3675a52

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا