ShrinkLocker

شرح کلی

نوع: باج‌افزار (Ransomware)

درجه تخریب: زیاد

میزان شیوع: متوسط

اسامی بدافزار

  • Ransomware.VBS.ShrinkLocker.ap(Padvish)
  • (Kaspersky) HEUR:Trojan-Ransom.VBS.ShrinkLocker.gen
  • (Eset) VBS/ShrinkLoader.A

باج‌افزار چیست؟

باج‌افزارها نوعی از بدافزار محسوب می‌شوند که اقدام به رمزگذاری اطلاعات مهم کاربر می‌کنند و جهت بازگردانی آن فایل‌ها از کاربر طلب باج می‌کنند. باج‌افزارها یکی از زیان‌بارترین بدافزارها هستند که می‌توانند خسارت‌های مالی هنگفتی ایجاد کنند. به طور کلی روش رمزگذاری اغلب روشی غیرقابل رمزگشایی است. یکی از راه‌های رایج برای پرداخت باج، استفاده از پول الکترونیکی به دلیل مخفی ماندن و عدم شناسایی طرفین است. در اکثر باج‌افزارها هیچ راهی برای بازگشت فایل وجود ندارد و کاربر به منظور بازگردانی اطلاعات مهم مجبور به پرداخت مبلغ به حساب باج‌گیر است.

باج‌افزار shrinklocker چیست؟

باج‌افزار ShrinkLocker که به صورت اسکریپت توسعه یافته است، به شکلی منحصر به فرد و از طریق سوءاستفاده از ویژگی BitLocker سیستم‌عامل، با قفل‌گذاری بر روی درایوها و ارسال کلید به سرور خود، اقدام به دریافت باج از قربانی خود می‌نماید. این باج‌افزار از ماه می سال 2024 شناسایی شده و رمزگشای آن توسط شرکت Bitdefender ارائه شده است.

توضیحات فنی

علائم آلودگی

❌ قفل شدن درایو‌های سیستم‌

❌ مشاهده صفحه‌ تغییر یافته BitLocker به آدرس و اطلاعات باج‌افزار، هنگام راه‌اندازی سیستم‌‌عامل

شرح عملکرد

🔹 دریافت اطلاعات سیستم عامل از طریق WMI:

  1. ارتباط با WMI و دریافت اطلاعات سیستم عامل از طریق آن

  2. مقایسه domain name سیستم با mwi.gov.jo (این آدرس مربوط به وزارت آب اردن می‌باشد) و خروج از اسکریپت در صورت برابری با این آدرس

  3. مقایسه آیتم Caption به عنوان بخشی از اطلاعات دریافتی از سیستم عامل با مقادیر مشخص شده (سیستم‌عامل‌های xp، 2000، 2003، Vista) و حذف فایل اسکریپت و خروج از آن در صورت برابری با سیستم‌عامل‌های مذکور

🔹 دریافت سربرگ درایوهای سیستم و جدا کردن مقدار مشخصی از حجم آن‌ها:

  1. مقایسه نسخه سیستم‌عامل با ویندوزهای (سرور 2008 و 2012) و دریافت سربرگ درایوهای سیستم عامل در صورت برابری با هر کدام از این نسخه‌ها

  2. استفاده از ابزار سیستمی Diskpart‌ جهت کاستن میزان 100(مگابایت) از هر درایو

  3. تغییر نوع درایو و فعالسازی آن

 

🔹 حذف سربرگ درایو ها:

🔹 بررسی وضعیت نصب bitLocker و اعمال تغییراتی در سیستم مشخص شده:

  1. دسترسی به BitLocker از طریق بخش Optional Feature سیستم‌عامل و سپس چک کردن نسخه سیستم‌عامل با نسخه R2” 2008”
  2. در صورتی که BitLocker‌ در بخش Optional Feature سیستم‌عامل نصب‌ نشده باشد، مقادیری به کلید رجیستری های مشخص شده افزوده خواهد شد. (کلید رجیستری مربوط به BitLocker‌ در کادر سبز رنگ مشخص شده است)
  3. نصب BitLocker به صورت کامل

در ادامه تغییراتی که توسط بدافزار در رجیستری سیستم انجام می شود، در جدول آمده است:

“”HKLM\System\CurrentControlSet\Control\Terminal Server”” /v fDenyTSConnections /t REG_DWORD /d 1 /f”

مسدود کردن ارتباطات راه دور(Remote Desktop) دریافتی

“”HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”” /v scforceoption /t REG_DWORD /d 1 /f”

مربوط به کارت هوشمند (Smart Card) و فعال کردن آن

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UseAdvancedStartup /t REG_DWORD /d 1 /f”

فعال کردن احراز هویت اضافه در استارتاپ

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v EnableBDEWithNoTPM /t REG_DWORD /d 1 /f”

فعال کردن BitLocker‌ در سیستمی که فاقد ماژول TPM است.

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UseTPM /t REG_DWORD /d 2 /f”

فعال کردن استفاده از تراشه TPM

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UseTPMPIN /t REG_DWORD /d 2 /f”

فعال کردن استفاده از PIN در کنار تراشه TPM برای احراز هویت

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UseTPMKey /t REG_DWORD /d 2 /f”

فعال کردن استفاده از Key در کنار تراشه TPM برای احراز هویت

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UseTPMKeyPIN /t REG_DWORD /d 2 /f”

فعال کردن TPMKey برای احزار BitLocker PIN

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v EnableNonTPM /t REG_DWORD /d 1 /f”

فعال کردن BitLocker حتی در حالتی که سیستم فاقد TPM است.

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UsePartialEncryptionKey /t REG_DWORD /d 2 /f”

فعال کردن کلید رمزگذاری Partial

“”HKLM\SOFTWARE\Policies\Microsoft\FVE”” /v UsePIN /t REG_DWORD /d 2 /f”

فعال کردن استفاده از PIN در رمزگذاری از طریق BitLocker

🔹 خاموش کردن سیستم در صورت نصب بودن BitLocker‌ در بخش Optional Feature‌:

در صورتی که BitLocker‌ در بخش Optional Feature نصب باشد، سیستم عامل خاموش خواهد شد و اسکریپت درحال اجرا برای مدتی (1 ساعت) در حالت توقف قرار خواهد گرفت. در غیر این صورت، اسکرپیت درحال اجرا به مدت (یک دقیقه) در حالت غیر فعال قرار خواهد گرفت.

در صورتی که Server Feature = 0 باشد، تغییراتی مشابه دو بخش قبلتر انجام می شود:

در صورتی که به هنگام بررسی جزییات نسخه سیستم عامل، برابر با R2‌ نباشد (در دو بخش قبلتر مورد بررسی قرار گرفته است) و همچنین ServerFeature = 0 باشد. روال دو بخش قبلتر تکرار شده و تغییراتی در کلید‌های رجیستری مشخص شده، اعمال خواهد شد. (بخش 1 و 2 از تصویر بالا)

شرط اجرای بخش 3 از تصویر بالا، ID = 266 می‌‌باشد که از ServerFeature‌ حاصل می‌شود (در Server Feature شناسه 266 مربوط به BitLocker Drive Encryption Tools است). در صورت برقراری شرط که به معنای وجود این Feature می‌باشد، مشابه بخش قبل، سیستم‌عامل خاموش خواهد شد. در غیر این صورت، اسکریپت در حال اجرا، برای مدتی طولانی، متوقف خواهد شد.

🔹بررسی وضعیت سرویس BDESVC(BitLocker Drive Encryption Service) و چک کردن وضعیت اجرای آن درون سیستم:

  1. در صورتی که سرویس اشاره شده درون سیستم نصب شده باشد، وضعیت سرویس مورد بررسی قرار می‌گیرد.

  2. در صورتی که سرویس درحال اجرا نباشد، اجرا شده و سپس اسکریپت در حال اجرا به مدت 10 ثانیه در حال توقف قرار می‌گیرد.

 

🔹 تغییر سربرگ درایوهای سیستم:

سربرگ درایوهای سیستم که قبلتر حذف شده بودند، به عبارت مشخص شده در کادر سبزرنگ، تغییر می‌یابند.

🔹بررسی وضعیت کارت شبکه سیستم:

وضعیت فعال بودن کارت شبکه سیستم در این بخش مورد بررسی قرار می‌گیرد.

🔹اعمال تغییرات رجیستری موردنظر در صورت برقراری شرط مشخص شده:

در صورت مطابقت نسخه سیستم عامل با هر یک از نسخه‌های مشخص شده در تصویر بالا، ادامه عملیات شامل تغییر مقادیر رجیستری مشخص شده، صورت خواهد پذیرفت.

🔹 دریافت اطلاعات درایو قابل رمزگذاری و انجام تست رمزگذاری بر روی آن:

ابتدا اطلاعات مربوط به درایو قابل رمزگذاری دریافت شده و سپس امکان رمزگذاری بر روی آن مورد آزمایش قرار می‌گیرد.

🔹مشخص کردن مقدار حافظه در حال استفاده در سیستم:

از طریق فرمول مشخص شده در تصویر، مقدار حافظه درحال استفاده در سیستم مشخص می‌شود.

🔹فرآیند رمزگذاری:

  1. مجموعه کاراکترهای استفاده شده در فرآیند رمزگذاری

  2. تجمیع تمام متغیرهای مورد استفاده جهت ایجاد یک رشته ترکیبی

  3. الگوریتم رمزگذاری

🔹 اعمال کلید رمزگذاری بر روی درایوها:

کلید رمزگذاری از طریق ابزار PowerShell بر روی درایوهای سیستم اعمال می‌شود.

🔹 ارتباط با سرور C2 و ارسال اطلاعات:

  1. مشخصات هدر بسته ارسالی به سرور و همچنین آدرس سرور فرماندهی و کنترل (C&C) که در تصویر مشخص شده است.

  2. اطلاعات ارسالی به سرور نظیر نام سیستم، درایوها و کلید رمزگذاری

  3. فرآیند ارسال اطلاعات به سرور که درون حلقه ای و به فاصله هر 3 ثانیه صورت می‌گیرد. این اطلاعات در قالب یک فایل XML با کدگذاری base64 به سرور ارسال می‌شود.

🔹 تغییر سربرگ درایوها و خاموش کردن سیستم:

مجددا سربرگ درایوها به آدرس ایمیل مشخص شده بدافزار که قبلتر به آن اشاره شد، تغییر کرده و سیستم خاموش می‌شود. (فلگ استفاده شده موجب خاموش شدن سیستم تحت هر شرایطی خواهد شد)

🔹تکرار فرآیند پارتیشن بندی برای ویندوزهای 7 و 8 و 8.1:

فرآیند جداسازی مقدار مشخصی از هر درایو که قبلتر به آن اشاره شد، برای سیستم‌عامل های مشخص شده در تصویر انجام می‌پذیرد.

🔹حذف ردپاها از سیستم:

  1. در صورتی که نام سیستم برابر با عنوان مشخص شده در تصویر(نام یک سرور DC است) باشد، تسک ایجاد شده برای فایل و همچنین اسکریپت‌های Logon.vbs و disk.vbs‌ از سیستم حذف خواهند شد. در غیر این صورت، صرفاً disk.vbs که خود اسکریپت در حال تحلیل می‌باشد، از سیستم حذف خواهد شد.

  2. حذف رول فایروال ست شده و همچنین تسک‌های ایجاد شده جهت بقای فایل

مقابله و پاکسازی سیستم

✅ آنتی‌ویروس پادویش باج‌افزار ShrinkLocker را شناسایی کرده و از سیستم حذف می‌کند. همچنین موتور ضدباجگیر آنتی ویروس از تخریب فایلهای سیستم جلوگیری کرده و در صورت تشخیص رفتار مشکوک سریعا اقدام به حذف فایل باج افزار می نماید.

✅ جهت پیشگیری از آلودگی احتمالی به این باج‌افزار، توصیه می‌شود از دریافت فایل از منابع نامعتبر که می‌تواند منجر به آلودگی سیستم شود، خودداری شود.

  مقاله برای 0 نفر مفید بود.