باج‌افزار MarsJoke رمزگشایی شد

۴یک خبر خوب برای قربانی‌هایی که به باج‌افزار MarsJoke مبتلا شده‌اند؛ این کاربران دیگر می‌توانند پرونده‌های خود را رمزگشایی کنند.
یک گروه سه نفره از محققان کسپرسکی شرح دادند که چگونه خطاهای موجود در رمزنگاری این باج‌افزار به آن‌ها اجازه‌ی رمزگشایی را داده است.
بزرگ‌ترین اشتباهی که توسعه‌دهندگان این باج‌افزار مرتکب شده‌اند در روشی بوده که مولد اعداد شبه‌تصادفی را اجرا کرده‌اند. محققان می‌گویند یک رشته‌ی ضعیف تصادفی در مولد کلید امکان کشف‌شدن داشت. این موضوع به آن‌ها اجازه داد که در کسری از زمان به جست‌وجوی مجموعه‌ای از کلیدهای احتمالی تولیدشده توسط این مولد در یک رایانه‌ی استاندارد بپردازند.
محققان می‌گویند که قادر بوده‌اند از این خطای توسعه‌دهندگان سوءاستفاده کنند، سپس کلید AES مربوط به پرونده‌ی رمزشده را محاسبه نمایند، و رمزنگاری Polyglot را با شکست مواجه سازند. این پژوهش‌گران گفته‌اند که یک بایگانی محافظت‌شده با گذرواژه در زیر لایه‌ی رمزنگاری متقارن وجود دارد، اما نفوذ به این بایگانی کار چندان دشواری نیست.
محققان گفته‌اند که توانسته‌اند کلید این بایگانی را با تعیین موقعیت چهار نویسه در گذرواژه‌ی آرشیو زیپ آن به دست بیاورند و پرونده‌ را از حالت زیپ خارج نمایند. باقی مراحل تولید این رمزنگاری Polyglot تقریباً بی‌عیب و نقص بوده است. Polyglot از رمزنگاری منحنی بیضوی، پروتکل دیفی-هلمن، AES ۲۵۶ بیتی، و یک آرشیو تحت حفاظت گذرواژه‌ که به ظاهر مجاز است تشکیل شده است. این مولد اعداد تصادفی درست همان نقطه‌ای است که توسعه‌دهندگان در موردش اشتباه کرده‌اند؛ مولدی که فرصت لازم برای نقض رمزنگاری صورت‌گرفته را در اختیار محققان قرار داده است.
هفته‌ی گذشته محققان کسپرسکی کلیدهای رمزگشایی Polyglot را به باج‌افزارهای Rannoh Decryptor، CryptXXX و Fury اضافه کرده‌اند و در پایگاه NoMoreRansom.org قرار داده‌اند.
این واقعیت که Polyglot ویژگی‌هایی مشابه با CTB-Locker را ارائه می‌دهد، اولین مسئله‌ای است که توجه پژوهش‌گران را به خود جلب می‌کند. پیام‌هایی Polyglot نشان می‌دهد دقیقاً شبیه CTB-Locker است؛ رابط کاربری گرافیکی، زبان، صفحه‌ی پرداخت، و روشی که کلیدهای رمزنگاری را درخواست می‌کند، همگی از مواردی هستند که با این باج‌افزار مشابه هستند. پژوهش‌گران معتقدند که هیچ‌کدام از این باج‌افزارها کد مشابهی ندارند، بلکه فقط تشابه بسیاری به هم دارند. شاید سازندگان Polyglot می‌خواستند که قربانی‌ها و محققان را گیج کنند، و یک نسخه‌ی نزدیک به CTB-Locker را بسازند که شبیه به این باج‌افزار به نظر برسد تا به این ترتیب هیچ شانسی برای باز پس گرفتن پرونده‌های رمزگشایی‌شده به‌طور رایگان وجود نداشته باشد.
بعد از این‌که کاربر با باز کردن پرونده‌ی مخرب ارسالی توسط هرزنامه آلوده شد، پرونده‌های کاربران رمزگذاری می‌شود. در حالی که اسامی پرونده‌ها عوض نمی‌شود، کاربران نمی‌تواند آن‌ها را باز کنند و با یک پیام باج‌خواهی متداول روی صفحه‌نمایش خود مواجه می‌شوند.
به عنوان نشانه‌ای از حسن نیت، قربانی این فرصت را دارد که چندین پرونده را به‌طور رایگان رمزگشایی نماید. پس از آن به قربانی گوش‌زد می‌شود که بایست مبلغ درخواستی را در واحد بیت‌کوین پرداخت کند. چنانچه کاربر کوتاهی نماید، یک پیام به وی نمایش داده می‌شود مبنی بر این‌که دیگر پرونده‌هایش رمزگشایی نمی‌شود و پرونده‌ها خودبه‌خود حذف خواهند شد.
باج‌افزارها دردسر قابل توجهی را برای کاربران به بار می‌آورند، خصوصاً باج‌افزارهایی که بخش‌های بهداشت و درمان را درگیر خود می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.