باج افزار جدیدی به محدوده تهدیدات دنیای دیجیتال پا گذاشته است. این باج افزار نام جالب اما عملکرد خطرناکی دارد: LooCipher

نام این باج افزار به قابلیت و عملکرد آن مرتبط است (Cipher) و بخش اول آن هم یک شخص دینی معروف، Lucifer است. در این مطلب سعی بر این است که نحوه عملکرد این باج افزار و راهکار شناسایی آن ارائه شود.

تحلیل فنی

برخلاف اکثر باج افزارها، LooCipher از یک سند مجهز به ماکرو به عنوان انتقال دهنده تهدید واقعی استفاده می کند. ما دو فایل word متفاوت برای استقرار باج افزار شناسایی کردیم، نام این فایل ها، “Info_BSV_2019.docm”  و  “Info_Project_BSV_2019.docm” بود. هر دو فایل طراحی بسیار ضعیفی داشتند و حاوی یک متن بودند که از کاربر برای فعالسازی اجرای ماکرو دعوت می کرد.

با بررسی دقیق محتوا، payload حداقلی کد ماکرو را بازیابی کردیم: تنها هدف آن دانلود باج افزار از آدرس “hxxp://hcwyo5rfapkytajg.onion[.]pet/2hq68vxr3f.exe”  و اجرای آن است.

نویسنده این ماکرو دقت کافی برای مبهم سازی کد آن به خرج نداده بود، حتی برخی رشته های نظر همچون //binary و //overwrite قابل مشاهده بود.

با اولین اجرا، عملیات رمزنگاری فایل‌های سیستم قربانی به جز فولدرهای سیستم و برنامه‌ها: “Program Files” و “Program Files (x86)” و  “Windows” آغاز می شود. واضح است که این حقه برای جلوگیری از تخریب فایل های مورد نیاز برای شروع سیستم عامل به کار گرفته شده است تا کاربر بتواند به رایانه خود لاگین کند و درخواست باج را ببیند.

پس از یک فاز طولانی لیست کردن فایل ها، باج افزار همه فایل هایی را که به پسوندهای زیر ختم می شوند، رمز می کند:

.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .py, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ai, .doc, .docm, .docx, .dxg, .odb, .odm, .odp, .ods, .odt, .orf, .ppt, .pptm, .pptx, .rtf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .pdf, .mobi, .epub, .sage

در حین فاز رمزنگاری، برای رمزنگاری هر فایل، باج افزار یک کپی رمزنگاری شده از فایل ها را ایجاد می کند اما فایل های اصلی را حذف نمی کند بلکه محتوای فایل های اصلی را پاک نموده و سایز 0-بایت را فورس می کند.

مشخص نیست که آیا این مکانیسم از یک کد دارای باگ ایجاد می شود یا ویژگی خاص این بدافزار است.

زمانی که فاز رمزنگاری به پایان می رسد، یک فولدر FAQ  حاوی یک فایل ایجاد می کند که در آن راهنمایی برای نحوه پرداخت باج توسط قربانی از طریق یک فرم Q&A وجود دارد.

همان گونه در فایل دستورالعمل پرداخت گفته شده است، قربانی فقط 5 روز فرصت دارد تا پرداخت را انجام دهد. پس از این مهلت، کلید رمز به طور خودکار نابود می شود و هیچ راهی برای بازگرداندن محتوای رمز شده کاربر وجود ندارد. اطلاعات مشابهی نیز در تصویر بک گراند نمایش داده می شود.

به محض این که فاز رمزنگاری به پایان می رسد، فرایند مخرب با C2 خودش ارتباط می گیرد و اطلاعات مربوط به ماشین آلوده شده را ارسال می کندو آدرس بیت کوین را در پنجره پاپ آپ نمایش می دهد.

شکل 8. مثالی از درخواست HTTP برای درخواست آدرس BTC

مشخص شد که C2 در شبکه TOR  با آدرس “hxxp://hcwyo5rfapkytajg[.]onion” هاست شده است، بنابراین بدافزار از سرویس هایی استفاده می کند که به عنوان پروکسی هایی بین دارک نت و شبکه غیر دارک کار می کنند تا عملیات مخرب خود را به آسانی انجام دهند و از نصب کتابخانه های TOR بر روی ماشین قربانی جلوگیری می کند. این سرویس ها موارد زیر بودند: