باج‌افزار MedusaLocker

باج‌افزاری با نام MedusaLocker در حال انتشار است که مهاجمان آن از طریق پودمان Remote Desktop Protocol – به اختصار RDP – یا کارزارهای ایمیل، به شبکه قربانیان نفوذ می‌کنند.

باج‌افزار MedusaLocker در حملات خود اقدام به رمزگذاری داده‌های قربانیان نموده و در هر یک از پوشه‌های حاوی فایل رمزگذاری شده، یک اطلاعیه باج‌گیری (Ransom Note) به همراه اطلاعات تماس و دستورالعمل نحوه ارتباط با مهاجمان را در اختیار قربانی قرار می‌دهد. در این اطلاعیه باج‌گیری از قربانیان خواسته می‌شود تا مبلغ باج مطالبه شده را به یک آدرس کیف پول بیت کوین خاص ارسال کنند. به نظر می‌رسد MedusaLocker یک سرویس اجاره‌ای (Ransomware-as-a-Service – به اختصار RaaS) است که باج پرداخت شده را تقسیم می‌کند. مدل‌های معمولی RaaS شامل توسعه‌دهنده باج‌افزار و شرکای مختلف آنها است که باج‌افزار را در سیستم‌های قربانی مستقر می‌کنند. به نظر می رسد در MedusaLocker باج پرداخت شده همواره بین آنها تقسیم می‌شود به گونه‌ای که ۵۵ تا ۶۰ درصد باج را شرکا و باقی‌مانده مبلغ را توسعه‌دهنده باج‌افزار دریافت می‌کند.

جزییات فنی

گردانندگان این باج‌افزار اغلب از طریق پیکربندی‌های آسیب‌پذیر در پودمان RDP، ایمیل‌های فیشینگ و یا کارزارهای ایمیلی به شبکه قربانیان نفوذ پیدا می‌کنند.

این باج‌افزار از فایلی از نوع Batch برای اجرای یک اسکریپت مبتنی بر PowerShell ا (invoke-ReflectivePEInjection) استفاده می‌کند. اسکریپت مذکور، با ویرایش مقدار EnableLinkedConnections در رجیستری دستگاه قربانی، باج‌افزار را در سراسر شبکه منتشر می‌کند. سپس از روی دستگاه آلوده، با بکارگیری پودمان‌های Internet Control Message Protocol – به اختصار ICMP – و Server Message Block – به اختصار SMB –اقدام به شناسایی سرورها و شبکه‌های متصل و پوشه‌های اشتراکی می‌کند.

در ادامه باج‌افزار MedusaLocker:

  • با راه‌اندازی مجدد سرویس LanmanWorkstation، امکان ویرایش رجیستری را برای خود فراهم می‌کند.
  • پروسه‌های برنامه‌های متداول حسابداری و نرم‌افزارهای امنیتی را متوقف می‌کند.
  • برای جلوگیری از شناسایی شدن توسط راهکارهای امنیتی، دستگاه را در حالت Safe Mode راه‌اندازی مجدد می‌کند.
  • فایل‌های قربانی را با الگوریتم AES-256 رمزگذاری نموده و سپس کلید حاصل را با یک کلید عمومی RSA-2048 رمزنگاری می‌‌کند.
  • هر ۶۰ ثانیه مجدداً اجرا شده و همه فایل‌ها را به جز آنهایی که برای عملکرد دستگاه قربانی حیاتی هستند و آنهایی که قبلاً رمزگذاری شده را رمزنگاری می‌کند.
  • با کپی کردن یک فایل اجرایی (exe یا svhostt.exe) در مسیر APPDATA%\Roaming% از طریق فرامین Schedule Task پروسه مخرب باج‌افزار را هر ۱۵ دقیقه فراخوانی می‌کند تا بدین ترتیب موجب ماندگاری باج‌افزار بر روی دستگاه ‌شود.
  • نسخه‌های پشتیبان‌ محلی و نسخه‌های Shadow را حذف کرده و با غیرفعال کردن گزینه‌های بازیابی موجب غیرممکن ساختن بازگردانی سیستم می‌شود.

اطلاعیه باج‌گیری که باج‌افزار در هر یک از پوشه‌های حاوی فایل رمزگذاری شده قرار می‌دهد، نحوه ارتباط با مهاجمان را تشریح می‌کند که معمولاً در آن یک یا چند آدرس ایمیل را برای قربانیان ارسال می‌کند که از طریق آن می‌توانند با مهاجمان تماس بگیرند. به نظر می‌رسد میزان باج‌ مطالبه شده توسط این باج‌افزار بسته به وضعیت مالی قربانی، متفاوت است.

از جمله پسوندهایی که در جریان این حملات به فایل‌های رمزگذاری شده الصاق می‌شود، می‌توان به موارد زیر اشاره کرد:

Encrypted File Extensions:

.۱btc

.matlock20

.marlock02

.readinstructions

.bec

.mylock

.jpz.nz

.marlock11

.cn

.NET1

.key1

.fileslocked

.datalock

.NZ

.lock

.lockfilesUS

.deadfilesgr

.tyco

.lockdata7

.rs

.faratak

.uslockhh

.lockfiles

.tyco

.fileslock

.zoomzoom

.perfection

.uslockhh

.marlock13

n.exe

.Readinstruction

.marlock08

.marlock25

nt_lock20

.READINSTRUCTION

.marlock6

.marlock01

.ReadInstructions

همچنین اسامی فایل‌های مربوط به اطلاعیه باج‌گیری که این باج‌افزار از آنها استفاده کرده، عبارتند از:

Ransom Note File Names:

how_to_ recover_data.html how_to_recover_data.html.marlock01
instructions.html READINSTRUCTION.html
!!!HOW_TO_DECRYPT!!! How_to_recovery.txt
readinstructions.html readme_to_recover_files
recovery_instructions.html HOW_TO_RECOVER_DATA.html
recovery_instruction.html

برخی از نشانی‌هایی که مهاجمان این باج‌افزار برای ارسال ایمیل به قربانیان خود از آن استفاده کرده‌اند، به شرح زیر می‌باشد:

Email Addresses:

willyhill1960@tutanota[.]com

unlockfile@cock[.]li

zlo@keem[.]ne

unlockmeplease@airmail[.]cc

zlo@keemail[.]me

unlockmeplease@protonmail[.]com

zlo@tfwno[.]gf

willyhill1960@protonmail[.]com

support@ypsotecs[.]com

support@imfoodst[.]com

traceytevin@protonmail[.]com

support@itwgset[.]com

unlock_file@aol[.]com

support@novibmaker[.]com

unlock_file@outlook[.]com

support@securycasts[.]com

support@exoprints[.]com

rewmiller-1974@protonmail[.]com

support@exorints[.]com

rpd@keemail[.]me

support@fanbridges[.]com

soterissylla@wyseil[.]com

support@faneridges[.]com

support@careersill[.]com

perfection@bestkoronavirus[.]com

karloskolorado@tutanota[.]com

pool1256@tutanota[.]com

kevynchaz@protonmail[.]com

rapid@aaathats3as[.]com

korona@bestkoronavirus[.]com

rescuer@tutanota[.]com

lockPerfection@gmail[.]com

ithelp01@decorous[.]cyou

lockperfection@gmail[.]com

ithelp01@wholeness[.]business

mulierfagus@rdhos[.]com

ithelp02@decorous[.]cyou

[rescuer]@cock[.]li

ithelp02@wholness[.]business

107btc@protonmail[.]com

ithelpresotre@outlook[.]com

33btc@protonmail[.]com

cmd@jitjat[.]org

777decoder777@protonmail[.]com

coronaviryz@gmail[.]com

777decoder777@tfwno[.]gf

dec_helper@dremno[.]com

andrewmiller-1974@protonmail[.]com

dec_helper@excic[.]com

angelomartin-1980@protonmail[.]com

dec_restore@prontonmail[.]com

ballioverus@quocor[.]com

dec_restore1@outlook[.]com

beacon@jitjat[.]org

bitcoin@sitesoutheat[.]com

beacon@msgsafe[.]io

briansalgado@protonmail[.]com

best666decoder@tutanota[.]com

bugervongir@outlook[.]com

bitcoin@mobtouches[.]com

best666decoder@protonmail[.]com

encrypt2020@outlook[.]com

decoder83540@cock[.]li

fast-help@inbox[.]lv

decra2019@gmail[.]com

fuc_ktheworld1448@outlook[.]com

diniaminius@winrof[.]com

fucktheworld1448@cock[.]li

dirhelp@keemail[.]me

gartaganisstuffback@gmail[.]com

emaila.elaich@iav.ac[.]ma

gavingonzalez@protonmail[.]com

emd@jitjat[.]org

gsupp@onionmail[.]org

encrypt2020@cock[.]li

gsupp@techmail[.]info

best666decoder@protonmail[.]com

helper@atacdi[.]com

ithelp@decorous[.]cyou

helper@buildingwin[.]com

ithelp@decorous[.]cyoum

helprestore@outlook[.]com

ithelp@wholeness[.]business

helptorestore@outlook[.]com

بعضی از نشانی‌های IP مورد استفاده توسط این باج‌افزار به شرح زیر است با این توضیح که بسیاری از این نشانی‌های مذکور چندین سال قدمت دارند و ممکن است در زمان حال دیگر تحت کنترل مهجمان این باج‌افزار قرار نداشته ‌باشند.

IP Addresses:

۱۹۵.۱۲۳.۲۴۶.۱۳۸
۱۳۸.۱۲۴.۱۸۶.۲۲۱
۱۵۹.۲۲۳.۰.۹
۴۵.۱۴۶.۱۶۴.۱۴۱
۱۸۵.۲۲۰.۱۰۱.۳۵
۱۸۵.۲۲۰.۱۰۰.۲۴۹
۵۰.۸۰.۲۱۹.۱۴۹
۱۸۵.۲۲۰.۱۰۱.۱۴۶
۱۸۵.۲۲۰.۱۰۱.۲۵۲
۱۷۹.۶۰.۱۵۰.۹۷
۸۴.۳۸.۱۸۹.۵۲
۹۴.۲۳۲.۴۳.۶۳
۱۰۸.۱۱.۳۰.۱۰۳
۱۹۴.۶۱.۵۵.۹۴
۱۹۸.۵۰.۲۳۳.۲۰۲
۴۰.۹۲.۹۰.۱۰۵
۱۸۸.۶۸.۲۱۶.۲۳
۸۷.۲۵۱.۷۵.۷۱
۱۹۶.۲۴۰.۵۷.۲۰
۱۹۸.۰.۱۹۸.۵
۱۹۴.۵.۲۲۰.۱۲۲
۱۹۴.۵.۲۵۰.۱۲۴
۱۹۴.۵.۲۲۰.۱۲۴
۱۰۴.۲۱۰.۷۲.۱۶۱