مقالات مرکز
علاوه بر ذات اساسی تمامی باج افزارها ( رمزگذاری اطلاعات ) ، باج افزار صنعتی Snake، اطلاعات حیاتی سیستم کنترل صنعتی  را تخریب و حذف می‌کند.
کارشناسان واحد امداد مرکز مدیریت راهبردی افتای ریاست جمهوری، از اوایل بهمن 1398 که خبرهایی در مورد فعالیت مرموز باج افزار صنعتی Snake منتشر شد، بررسی فعالیت این باج افزار را آغاز کردند و در نهایت به روش‌های مقابله و حذف آن از سیستم‌ها دست یافتند.
 اسم این باج افزار خاص با هدف تاثیر برروی سیستم‌های کنترل صنعتی، Snake یا EKANS ( برعکس کلمه‌ی Snake ) است.
 نکته‌ی قابل توجه برروی این باج افزار این است که علاوه بر ذات اساسی کلیه‌ی باج افزارها (رمزگذاری اطلاعات) به تخریب و حذف اطلاعات حیاتی سیستم کنترل صنعتی نیز اقدام می-کند؛ حتی نوع حذف اطلاعات برروی سیستم به گونه‌ای است که بازگردانی اطلاعات را نیز بسیار مشکل یا غیر ممکن می‌سازد. 
بازگردانی بسیار مشکل یا غیر ممکن اطلاعات به سیستم ، باعث گردیده است که این باج افزار به عنوان یک نرم افزار بسیار مخرب برای صنایع زیرساختی محسوب گردد زیرا هرگونه حذف یا عدم دسترسی به اطلاعات در نرم افزارهای سیستم‌های کنترل صنعتی خطرات بسیار زیادی به همراه دارد و باعث می‌شود نرم افزارهای کنترل فرآیند نتوانند عملکردهای بلادرنگ خود را انجام دهند. 
این باج افزار تاکنون برروی برخی از محصولات کنترل صنعتی شرکت جنرال الکتریک ((GE آمریکا عمل کرده است ولی باید دقت داشت که قابلیت اجرا برروی سیستم‌های صنعتی دیگر برندهای جهانی محصولات کنترل صنعتی را دارد. 
به عنوان نمونه در یک سیستم آلوده به این باج افزار، از میان بسیاری از فرآیندهای نرم افزاری برروی سیستم عامل، این باج افزار نرم افزار Proficy شرکت جنرال الکتریک ، نرم افزار بررسی Licence معتبر، نرم افزار اتوماسیون صنعتی Fanuc  شرکت GE ، نرم افزار مانیتورینگ و مدیریتی ThingWorx و ابزار واسط کنترلی شرکت HoneyWell  را از کار انداخته است.
 بنابر اطلاعات منتشر شده، شرکت ملی نفت بحرین ( BAPCO )  به واسطه استفاده گسترده از محصولات جنرال الکتریک مورد حمله‌ این باج افزار قرار گرفته است.
جدول 1 - خلاصه مشخصات بدافزار 
نام بدافزار  Snake یا Ekans
نوع File Extension های ایجاد شده اضافه نمودن یک رشته 5 کاراکتری به هر File Extension موجود
نوع بدافزار باج افزار
هدف شبکه‌های سازمانی و شبکه‌های صنعتی
نشانه‌ها فایل‌ها رمزگذاری می‌شود و در هر فایل رمزگذاری شده کلمه‌ی EKANS را می‌توان مشاهده نمود.
فایل اطلاعات باج افزار Fix-Your-Files.txt
روش انتشار هنوز به طور کامل شناسایی نشده است
محصولات صنعتی آلوده شده[1]
  • نرم افزار Proficy شرکت GE
  • نرم افزار اتوماسیون Fanuc GE
  • نرم افزار مانیتورینگ Honeywell HMIWEB
  • نرم افزار واسط Thingworx

نام بدافزار     Snake یا Ekans
نوع File Extension های ایجاد شده    اضافه کردن یک رشته 5 کاراکتری به هر File Extension موجود
نوع بدافزار    باج افزار 
هدف    شبکه‌های سازمانی و شبکه‌های صنعتی
نشانه‌ها    فایل‌ها رمزگذاری می‌شود و در هر فایل رمزگذاری شده کلمه-ی EKANS را می‌توان مشاهده کرد
فایل اطلاعات باج افزار     Fix-Your-Files.txt
روش انتشار    هنوز به طور کامل شناسایی نشده است
محصولات صنعتی آلوده شده    •    نرم افزار Proficy شرکت GE
•    نرم افزار اتوماسیون Fanuc GE 
•    نرم افزار مانیتورینگ Honeywell HMIWEB 
•    نرم افزار واسط Thingworx 

نحوه‌ عملکرد باج افزار Snake
باج افزار Snake پس از ورود به سیستم، در ابتدا برای دسترسی Admin در سیستم تلاش می‌کند. پس از در اختیار گرفتن دسترسی Admin، در ابتدا تمام فضای حافظه‌ای Shadow Copy ها را از روی سیستم حذف می‌کند.
 پس از  حذف تمام فضای حافظه‌ای Shadow Copy ها از روی سیستم ، باج افزار Snake به طور تقریبی حدود 64 فرآیند نرم افزاری مرتبط با سیستم اسکادا، ماشین مجازی، نرم افزارهای کنترل صنعتی، ابزارهای مدیریت از راه دور، نرم افزارهای مدیریت شبکه و و امثال این نرم افزارها و ابزارها را متوقف (Kill) می‌کند. 
جدول 2 – فرآیندهای متوقف(Kill) شده 
Process Description
bluestripecollector.exe BlueStripe Data Collector
ccflic0.exe Proficy Licensing
ccflic4.exe Proficy Licensing
cdm.exe Nimsoft Related
certificateprovider.exe Ambiguous
client.exe Ambiguous
client64.exe Ambiguous
collwrap.exe BlueStripe Data Collector
config_api_service.exe ThingWorx Industrial Connectivity Suite, Ambiguous
dsmcsvc.exe Tivoli Storage Manager Client
epmd.exe RabbitMQ Server (SolarWinds)
erlsrv.exe Erlang
fnplicensingservice.exe FLEXNet Licensing Service
hasplmv.exe Sentinel Hasp License Manager
hdb.exe Honeywell HMIWeb
healthservice.exe Microsoft SCCM
ilicensesvc.exe GE Fanuc Licensing
inet_gethost.exe Erlang
keysvc.exe Ambiguous
managementagenthost.exe VMWare CAF Management Agent Service
monitoringhost.exe Microsoft SCCM
msdtssrvr.exe Microsoft SQL Server Integration Service
msmdsrv.exe Microsoft SQL Server Analysis Services
musnotificationux.exe Microsoft Update Notification Service
n.exe Ambiguous
nimbus.exe Broadcom Nimbus
npmdagent.exe Microsoft OMS Agent
ntevl.exe Nimsoft Monitor
ntservices.exe Ambiguous
pralarmmgr.exe Proficy Related
prcalculationmgr.exe Proficy Historian Data Calculation Service
prconfigmgr.exe Proficy Related
prdatabasemgr.exe Proficy Related
premailengine.exe Proficy Related
preventmgr.exe Proficy Related
prftpengine.exe Proficy Related
prgateway.exe Proficy Secure Gateway
prlicensemgr.exe Proficy License Server Manager
proficy administrator.exe Proficy Related
proficyclient.exe Proficy Related
proficypublisherservice.exe Proficy Related
proficyserver.exe Proficy Server
proficysts.exe Proficy Related
prprintserver.exe Proficy Related
prproficymgr.exe Proficy Plant Applications
prrds.exe Proficy Remote Data Service
prreader.exe Proficy Historian Data Calculation Service
prrouter.exe Proficy Related
prschedulemgr.exe Proficy Related
prstubber.exe Proficy Related
prsummarymgr.exe Proficy Related
prwriter.exe Proficy Historian Data Calculation Service
reportingservicesservice.exe Microsoft SQL Server Reporting Service
server_eventlog.exe Proficy Event Log Service, Ambiguous
server_runtime.exe Proficy Related, Ambiguous
spooler.exe Ambiguous
sqlservr.exe Microsoft SQL Server
taskhostw.exe Windows OS
vgauthservice.exe VMWare Guest Authentication Service
vmacthlp.exe VMWare Activation Helper
vmtoolsd.exe VMWare Tools Service
win32sysinfo.exe RabbitMQ
winvnc4.exe WinVNC Client
workflowresttest.exe Ambiguous
در گام بعدی، فایل‌ها و داده‌های مرتبط با نرم افزارهای صنعتی را با ابزار خاص خود رمزگذاری می‌کند. البته قابل توجه است که در این فرآیند رمزگذاری، داده‌های موجود در فولدرهای سیستم عامل ویندوز و فایل‌های سیستمی به طور عمد دستکاری نمی‌شوند. 
مسیرهایی که رمزنگاری برروی آنها انجام نمی‌شود، به این شرح است:  
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\
پس از انجام فرآیند رمزنگاری، فایل‌های تولید شده دارای extensionهای اولیه به علاوه‌ یک رشته پنج کاراکتری است.
 به عنوان نمونه، اگر در ابتدا فایلی به صورت 1.doc وجود داشته باشد پس از انجام عملیات رمزنگاری برروی فایل‌ها به صورت 1. docqkWbv در خواهد آمد.
 در شکل 1 این موضوع نشان داده شده است.
 
شکل 1 – فایل‌های رمزنگاری شده توسط باج افزار

اگر هر یک از فایل‌های رمزنگاری شده به صورت TEXT باز شوند، در انتهای این فایل‌ها کلمه‌ کلیدی EKANS ( برعکس کلمه‌ی Snake ) را مشاهده می‌شود:
 
شکل 2 - کلمه‌ کلیدی EKANS در فایل‌های رمزنگاری شده

پس از پایان عملیات رمزنگاری، برروی صفحه Desktop کامپیوتر فایل متنی با نام
 Fix-Your-Files.txt تولید می‌شود که اطلاعاتی در مورد اجرای حمله‌ باج افزار به سیستم است.
 
شکل 3 - اطلاعات تولید شده پس از اجرای موفق باج افزار

همانطور که در شکل 3 آمده است در فایل متنی تولید شده، اطلاعاتی در مورد الگوریتم رمزنگاری و اطلاعات تماس با باج گیران را قابل مشاهده است.
پاکسازی سیستم
از اینکه آیا می‌توان فایل‌های رمزگذاری شده‌ باج افزار Snake را بدون داشتن کلید رمزگذاری مهاجمان، بازگردانی کرد، در حال حاضر، هیچ گونه اطلاعاتی وجود ندارد.
 باج افزار Snake با هدف گسترش برروی سیستم‌های سازمانی و گسترده طراحی شده است ولی توانایی آلوده سازی انفرادی سیستم‌ها را نیز دارد. 
با توجه به اینکه این باج افزار خود را برروی شبکه می‌تواند پخش کند، بنابراین به منظور حذف ویروس Snake از روی سیستم و عدم گسترش آن می‌توان از روش‌ زیر استفاده کرد: 
قبل از انجام فرآیند حذف باج افزار Snake ، حتما موارد زیر را انجام دهید:
•    گام‌های زیر را طبق دستورالعمل و به ترتیب انجام دهید و انجام هر گام را با دقت دنبال کنید.
•    از تمامی فایل‌های سیستم به طور کامل نسخه‌ پشتیبان تهیه کنید تا در صورت ایجاد مشکل بتوانید به نقطه‌ آغاز بازگردید.
•    ممکن است برای رسیدن به نتیجه‌ مطلوب چندین بار این فرآیند را تکرار کرد.

گام 1: سیستم عامل را در حالت Safe راه اندازی کنید.
در گزینه Start ، گزینه Run را جستجو و با تایپ کلمه‌ MSCONFIG ، ابزار
System Configuration   ویندوز را راه اندازی کنید.
 
شکل 4 – چگونگی راه اندازی System Configurator

در تب BOOT ، گزینه‌ی Safe BOOT را انتخاب و تیک گزینه‌ی Network را فعال کنید.
 
شکل 5 - فعال سازی Safe Boot ویندوز
نکته: بعد از انجام فرآیند حذف باج افزار، تنظیمات را به حالت اولیه بازگردانید.
به عنوان یک گام اضافی، در تب Startup در صورت اینکه می‌دانید در هنگام راه اندازی سیستم عامل چه ابزارهایی از چه تولیدکنندگانی باید راه اندازی شود، موارد اضافی را غیرفعال کنید.
 
شکل 6 - راه اندازی نرم افزارها در هنگام بالا آمدن سیستم عامل
پس از کلیک برروی گزینه‌ی ok ، سیستم را Restart کنید
 
شکل 7 – راه اندازی مجدد سیستم
بعد از Restart سیستم، سیستم عامل باید حالت Safe Mode را داشته باشد.
گام2: تنظیمات انجام شده توسط باج افزار را در registry ویندوز پاک گردند.
به طور معمول رجیستری‌های زیر توسط باج افزار دستکاری می‌شود.
•    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
•    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
•    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
•    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
به منظور حذف مقادیر موجود در مسیرهای فوق به صورت ذیل عمل کنید:
در گزینه Start ، گزینه Run را جستجو و با تایپ کلمه‌ی regedit ، عملیات Registry Editor ویندوز را فراخوانی کنید.
 
شکل 8 - فراخوانی رجیستری ویندوز
 
شکل 9 - مسیر تعیین شده در رجیستری
با باز شدن رجیستری، مقادیر ایجاد شده توسط ویروس را باید حذف کرد.
 
شکل 10 - مقادیر ایجاد شده توسط ویروس
نکته: برای اینکه متوجه شوید که ویروس چه مقادیری را تغییر داده است، کافی است برروی موارد مورد نظر گزینه‌ Modify را کلیک کرده و ببینید که کدام فایل‌ها برای RUN ، تنظیم شده اند. اگر مسیر داده شده، مکان فایل ویروس است، آن مقدار را حذف کنید.
گام 3: فایل‌های ایجاد شده توسط باج افزار را پیدا کنید.
فایل‌هایی را که باج افزار ایجاد کرده است را باید شناسایی کنید. برای شناسایی این فایل‌ها می‌توان از آخرین نسخه‌های پشتیبان سیستم استفاده کرد. 
همچنین برای جستجوی فایل در سیستم عامل ویندوز می‌توانید از Explorer.exe ویندوز استفاده کنید. 
کارشناسان واحد امداد مرکز مدیریت راهبردی افتا ازشناسایی ضد بدافزارهای قابل اطمینان بعنوان گام چهارم مقابله با باج افزار Snake نام می‌برند که باید سیستم‌ها را با آنها اسکن کرد تا باج افزار را شناسایی کند.

 
[1] - موارد ذکر شده، موارد تایید شده می‌باشند و به معنای اینکه تنها این نرم افزارهای صنعتی تحت تاثیر می‌باشند، نیست.

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.