ابزار رمزگشایی جدید برای نسخه‌ی ۳ باج‌افزار CryptXXX منتشر شد

محققان امنیتی تهدیدات ناشی از نسخه‌ی ۳ باج‌افزار CryptXXX را خنثی کردند و ابزاری برای رمزگشایی پرونده‌ها ارائه دادند. این ابزار رمزگشایی به پروژه‌ی No Ransom آزمایشگاه کسپرسکی اضافه شده است.

نسخه‌های قبلی ابزار رمزگشایی بر روی فهرست جزئی از پرونده‌های رمزنگاری‌شده با CryptXXX کار می‌کرد ولی نسخه‌ی جدیدِ این ابزار، تمامی پرونده‌ها را بازیابی می‌کند.

باج‌افزار CryptXXX امروزه یکی از فعال‌ترین خانواده‌ی باج‌افزاری است و این ابزار رمزگشایی با خنثی کردن تهدیدات آن، ضربه‌ی مهلکی را به نویسندگان این بدافزار وارد می‌کند. تقریباً یک چهارم از قربانیان باج‌افزار CryptXXX در آمریکا قرار دارند و کشورهایی مانند آلمان، روسیه و ژاپن در بین کشورهایی هستند که بیشتر هدف حمله‌ی این باج‌افزار قرار گرفته‌اند.

در اردیبهشت ماه محققان امنیتی برای رمزگشایی پرونده‌هایی که با نسخه‌ی اولیه‌ی باج‌افزار رمزنگاری شده بودند، ابزاری منتشر کردند. تا تیرماه نویسندگان قابلیت‌های CryptXXX را بهبود دادند تا بتوانند تأثیرات ابزار رمزگشایی را خنثی کنند و در این راستا یک ماژول سرقت گواهی‌نامه به این بدافزار اضافه کردند. در آن زمان محققان پروف‌پوینت می‌گفتند نویسندگان این باج‌افزار می‌خواهد با نرخ آلودگی و توزیع باج‌افزار Locky رقابت داشته باشند.

در اولین نسخه‌ی باج‌افزار CryptXXX یک اشکال در الگوریتم رمزنگاری وجود داشت و محققان امنیتی با بهره‌برداری از آن می‌توانستند ابزار رمزگشایی ارائه کنند. در نسخه‌ی دوم باج‌افزار، نویسندگان کد را به‌روزرسانی کردند ولی هنوز اشکالاتی در آن وجود داشت و محققان آزمایشگاه کسپرسکی مجدداً توانستند ابزاری برای رمزگشایی تهیه کنند. در ابزار رمزگشایی جدید، می‌توان پرونده‌هایی که با نسخه‌ی ۲ یا ۳ باج‌افزار رمزنگاری شده را رمزگشایی کرد.

به گفته‌ی محققان امنیتی آزمایشگاه کسپرسکی، باج‌افزار CryptXXX یک DLL است که به زبان دلفی نوشته شده و در حمله به پرونده‌ها از الگوریتم‌های رمزنگاری مختلفی استفاده می‌کند. آزمایشگاه کسپرسکی گزارش داد ۳ مورد از روش‌های رمزنگاری که این باج‌افزار استفاده می‌کند از جمله RC۴ از یک کلید یکسان برای رمزنگاری پرونده‌ها استفاده می‌کند. دو مورد دیگر از روش‌ها از RC۴ و RSA برای رمزنگاری محتوای پرونده‌ها و کلیدهای RC۴ استفاده می‌کنند. در مواردی نیز مشاهده شده که از ترکیبی از RC۴ و RSA استفاده می‌شود. با استفاده از RC۴ محتوای پرونده‌ها رمزنگاری شده و با RSA برخی پرونده‌های خاص و کلیدهای RC۴ رمزنگاری می‌شود.

در نسخه‌ی ۳ باج‌افزار CryptXXX به انتهای پرونده‌های رمزنگاری‌شده پسوند crypt ،.cryp۱. و crypz. اضافه می‌شود. در بررسی‌های انجام‌شده، محققان اشاره کردند برخلاف باج‌افزار Locky که توسط پویش‌ هرزنامه‌ای Dridex توزیع می‌شود، باج‌افزار CryptXXX به ترافیک مخرب URL ها که در کیت‌هایی مانند Angler و Neutrino مورد بهره‌برداری قرار می‌گیرد متکی است.

باتوجه به برداشت‌های قبلی از باج‌افزار، نسخه‌ی ۳ دارای ماژولی به نام stiller.dll است که بر روی رایانه‌های هدف بارگیری می‌شود. این ماژول می‌تواند اطلاعات ۱۳۰ نوع کارت اعتباری مختلف را از روی رایانه‌ی قربانی به سرقت ببرد مانند اطلاعاتی که در کارخواه‌های رایانامه، برنامه‌های پیام‌رسان و مرورگرهای وب ذخیره می‌شود.

محققان امنیتی آزمایشگاه کسپرسکی می‌گویند: «پس از رمزنگاری پرونده‌ها و ارسال تمامی اطلاعات حساس به مهاجمان، این باج‌افزار در ادامه یک پیغام باج‌خواهی را نمایش می‌دهد.» در حال حاضر مشخص نیست در نسخه‌ی جدید CryptXXX چه مقدار باج از قربانی خواسته می‌شود. در تیرماه در نسخه‌ی ۲ باج‌افزار، برای بازگرداندن پرونده‌ها مبلغی برابر با ۱.۳ بیت‌کوین معادل هزار دلار از قربانی خواسته شده بود.

آزمایشگاه کسپرسکی قبلاً نیز نزدیک به ۱۲ ابزار رمزگشایی برای باج‌افزارهایی مانند CoinVault ،TeslaCrypt ،Wildfire و Crybola منتشر کرده است. فهرست کامل ابزارهای رمزگشایی در وب‌گاه No Ransom کسپرسکی قابل مشاهده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.