فعالة وسريعة وغير قابلة للاسترداد: تظهر برامج الممسحة الضارة في كل مكان

خلال العام الماضي ، ظهرت موجة من البرامج الضارة المدمرة للمسحات من ما لا يقل عن تسع عائلات. في الأسبوع الماضي ، قام الباحثون بفهرسة اثنين آخرين على الأقل ، وكلاهما يعرض قواعد بيانات متقدمة مصممة لإحداث أقصى قدر من الضرر.

يوم الإثنين ، نشر باحثون من Check Point Research تفاصيل عن آزوف ، وهو برنامج خبيث لم يسبق رؤيته وصفته الشركة بأنه “ممسحة بيانات فعالة وسريعة وغير قابلة للاسترداد للأسف”. يتم مسح الملفات في كتل من 666 بايت عن طريق الكتابة فوقها ببيانات عشوائية ، وترك كتلة متطابقة الحجم سليمة ، وما إلى ذلك. تستخدم البرامج الضارة المتغير المحلي غير المهيأ char buffer[666].

لا يحتاج أطفال البرنامج النصي إلى التقديم

بعد إتلاف البيانات بشكل دائم على الأجهزة المصابة ، يعرض آزوف ملاحظة مكتوبة بأسلوب إعلان الفدية. المذكرة تردد صدى نقاط حديث الكرملين فيما يتعلق بالحرب الروسية على أوكرانيا ، بما في ذلك التهديد بضربات نووية. تنسب الملاحظة المأخوذة من إحدى العيّنتين التي تم استردادها من Check Point الكلمات إلى محلل برامج ضارة معروف من بولندا.

على الرغم من الظهور الأولي لتعهد من قبل مطوري الأحداث ، فإن آزوف ليس متطورًا بأي حال من الأحوال. إنه فيروس كمبيوتر في التعريف الأصلي ، مما يعني أنه يعدل الملفات – في هذه الحالة ، إضافة رمز متعدد الأشكال إلى الملفات التنفيذية ذات الباب الخلفي 64 بت – التي تهاجم النظام المصاب. إنها مكتوبة بالكامل أيضًا في التجميع ، وهي لغة منخفضة المستوى ومضنية للغاية للاستخدام ولكنها أيضًا تجعل البرامج الضارة أكثر فاعلية في عملية الباب الخلفي. إلى جانب الشفرة متعددة الأشكال ، يستخدم آزوف تقنيات أخرى لجعل الاكتشاف والتحليل من قبل الباحثين أكثر صعوبة.

على الرغم من أن عينة آزوف كانت تعتبر من برامج التزحلق عند مصادفتها لأول مرة (على الأرجح بسبب مذكرة الفدية التي تم تكوينها بشكل غريب) ، إلا أنه عند إجراء مزيد من البحث ، يجد المرء تقنيات متقدمة جدًا – التجميع المصنوع يدويًا ، وحقن الحمولات في الملفات التنفيذية من أجل فتح باب خلفي لها ، والعديد من الحيل المضادة للتحليل كتب الباحث في Check Point Jiri Vinopal: “عادةً ما تكون مخصصة للكتب المدرسية الأمنية أو أدوات الجرائم الإلكترونية ذات الأسماء التجارية البارزة”. “من المؤكد أن برنامج Azov ransomware يمنح المهندس العكسي وقتًا أصعب من متوسط ​​البرامج الضارة.”

تتسبب القنبلة المنطقية المضمنة في الكود في انفجار آزوف في وقت محدد مسبقًا. بمجرد بدء التشغيل ، تتكرر القنبلة المنطقية على جميع أدلة الملفات وتنفذ إجراءات المسح على كل منها ، باستثناء مسارات النظام المحددة المشفرة وملحقات الملفات. اعتبارًا من الشهر الماضي ، تم تقديم أكثر من 17000 ملف تنفيذي مستتر إلى VirusTotal ، مما يشير إلى انتشار البرنامج الضار على نطاق واسع.

يوم الأربعاء الماضي ، كشف باحثون من شركة ESET الأمنية عن ممسحة أخرى غير مرئية من قبل أطلقوا عليها اسم Fantasy ، جنبًا إلى جنب مع حركة جانبية وأداة تنفيذ اسمها Sandals. انتشر البرنامج الضار باستخدام هجوم سلسلة التوريد الذي أساء استخدام البنية التحتية لشركة إسرائيلية تقوم بتطوير برامج لاستخدامها في صناعة الماس. على مدار 150 دقيقة ، انتشرت Fantasy and Sandals إلى عملاء صانع البرمجيات العاملين في الموارد البشرية ، وخدمات دعم تكنولوجيا المعلومات ، وتجارة الماس بالجملة. كانت الأهداف موجودة في جنوب إفريقيا وإسرائيل وهونغ كونغ.

يستعير Fantasy بشكل كبير رمزًا من Apostle ، وهو برنامج ضار تنكر في البداية على أنه برنامج فدية قبل أن يكشف عن نفسه على أنه ممسحة. تم ربط الرسول بـ Agrius ، وهو ممثل تهديد إيراني يعمل من الشرق الأوسط. أدت إعادة استخدام الكود إلى جعل ESET ينسب Fantasy and Sandals لنفس المجموعة.