انتشار ابزار رمزگشایی برای ۳ نوع باج‌افزار

در حال حاضر ابزار رمزگشایی برای ۳ خانوداه از باج‌افزارها منتشر شده است. این باج‌افزارها چند هفته قبل کشف شده بودند و اینک قربانیان با استفاده از این ابزارها می‌توانند پرونده‌های رمزنگاری‌شده‌ی خود را بازیابی کنند.

شرکت امنیتی چک‌پوینت نیز از شرکت‌هایی است که در پروژه‌ی No More Ransom شرکت کرده است. در هفته‌های گذشته این شرکت دو خانواده‌ی باج‌افزاری جدید با نام‌های DeriaLock و PHP Ransomware را کشف کرده است. مراجع قانونی و شرکت‌های امنیتی در این پروژه با هم متحد شده و همکاری دارند تا از روند رو به رشد باج‌افزارها جلوگیری کنند.

محققان امنیتی می‌گویند، باج‌افزار DeriaLock درست قبل از کریسمس مورد بررسی قرار گرفته است. این باج‌افزار چیزی بیش از یک قفل‌کننده‌ی صفحه نبود که از کنترل رایانه از طریق صفحه جلوگیری می‌کند. هرچند این بدافزار در نسخه‌ی اولیه قابلیت رمزنگاری پرونده‌ها را نداشت ولی در عرض دو روز این قابلیت نیز به آن اضافه شد.

هرچند نسخه‌ی اولیه‌ی این بدافزار قابلیت‌های زیادی نداشت ولی آخرین نسخه از آن دارای قابلیت‌های قفل صفحه، رمزنگاری پرونده‌ها است. همچنین این باج‌افزار زمانی که کاربر تلاش می‌کند رایانه‌ی خود را مجدداً راه‌اندازی کند، پرونده‌های قربانی را حذف می‌کند.
اشکالاتی که در این باج‌افزار وجود داشت، به محققان امنیتی چک‌پوینت اجازه داد تا یک ابزار رمزگشایی منتشر کنند تا قربانیان بتوانند به‌طور رایگان پرونده‌های خود را بازیابی کنند. این ابزار رمزگشایی باید بااحتیاط مورد استفاده قرار بگیرد و لازم است کاربر رایانه را در حالت امن مجدداً راه‌اندازی کند. محققان امنیتی هشدار دادند اگر رمزگشایی با شکست مواجه شود، تمامی پرونده‌ها از دست خواهد رفت پس لازم است پیش از شروع فرآیند رمزگشایی نسخه‌ی پشتیبان از پرونده‌ها تهیه شود.

باج‌افزار دومی که توسط چک‌پوینت کشف شده، PHP Ransomware نام دارد. این بدافزار چیزی بیش از یک اسکریپت PHP است و به خودی خود نیز یک باج‌افزار نیست چرا که در ازای رمزگشایی پرونده‌ها از قربانی باج درخواست نمی‌کند. این بدافزار صرفاً پرونده‌های قربانی را رمزنگاری می‌کند ولی پیغام باج‌خواهی نمایش نمی‌دهد و همچنین ارتباطی با کارگزار دستور و کنترل برقرار نمی‌کند.
این اسکریپت پوشه‌ها را به‌طور بازگشتی جستجو می‌کند و زمانی‌که پرونده‌هایی با پسوند مشخص را پیدا کرد، مجوز خواندن، نوشتن و اجرا کردن آن‌ها را تغییر می‌دهد. در ادامه این بدافزار ۲۰۴۸ بایت ابتدایی پرونده‌های مورد نظر را رمزنگاری کرده و پسوند crypted. را به انتهای آن‌ها اضافه می‌کند.

قربانیان برای رمزگشایی پرونده‌هایی که با PHP Ransomware رمزنگاری شده‌اند فقط باید ابزار رمزگشایی را اجرا کنند در حالی‌که برای رمزگشایی DeriaLock باید عملیات پیچیده‌ای را دنبال کنند که این دستورات را می‌توانید از این پیوند بخوانید.
باج‌افزار OpenToYou بدافزار دیگری است محققان امنیتی تلاش می‌کردند برای آن ابزار رمزگشایی ارائه کنند. ابزار رمزگشایی این باج‌افزار توسط شرکت امنیتی Emsisoft ارائه شده است. این شرکت گزارش داده باج‌افزار به انتهای پرونده‌های رمزنگاری‌شده پسوند -opentoyou@india.com. را اضافه می‌کند. همچنین نویسندگان این باج‌افزار قربانیان را تشویق می‌کنند تا برای پرداخت باج از طریق یک آدرس رایانامه با آن‌ها در تماس باشند.

پس از آلوده شدن رایانه‌ی قربانی و تولید کلید رمزنگاری با الگوریتم SHA-۱، یک گذرواژه‌ی رشته‌ای نیز تولید می‌شود. در ادامه این گذرواژه از کلید برای رمزنگاری پرونده‌ها با الگوریتم RC۴ استفاده می‌کند. به محض اینکه فرآیند رمزنگاری تمام شد، باح‌افزار یک پیغام باج‌خواهی نمایش می‌دهد. در این پیغام شناسه‌ی قربانی نیز نمایش داده شده که قربانی برای ارتباط با نویسندگان باج‌افزار، باید این شناسه را ارائه کند.

به گزارش شرکت Emsisoft، باج‌افزار OpenToYou هنوز در حال توسعه است. ابزار رمزگشایی این باج‌افزار بر روی وب‌گاه این شرکت قابل دستیابی است و اجازه می‌دهد قربانیان به‌طور رایگان پرونده‌های خود را بازیابی کنند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap