توسعه‌دهنده‌ی باج‌افزار Exotic خواستار دوستی با محققان امنیتی!

۳هفته‌ی گذشته سر و کله‌ی یک باج‌افزار جدید پیدا شد؛ این باج‌افزار در طول ۲ روز از نسخه‌ی ۱.۰ به ۳.۰ ارتقاء پیدا کرد، ظاهراً توسعه‌دهنده‌ی آن که یک فرد آلمانی ملقب به EvilTwin یا Exotic Squad است واقعاً در صدد بوده تا محققان امنیتی را با این «اثر هنری» خود تحت تأثیر قرار دهد.
این باج‌افزار که Exotic نام گرفته، در واقع باج‌افزار عادی و عاری از ویژگی‌های خارق‌العاده‌ای است که پرونده‌ها را قفل می‌کند، پیام هشدار باج‌خواهی را به نمایش درمی‌آورد، و برای باز کردن قفل داده‌ها درخواست پول می‌کند.
MalwareHunterTeam، توسعه‌دهنده‌ای که نخستین بار این باج‌افزار را کشف کرد، می‌گوید که این مورد از پیشرفته‌ترین و موفق‌ترین قطعه‌های بدافزاری نیست که در چندین ماه اخیر رؤیت شده است.
Exotic در زمان نگارش هرگز تهدیدی محسوب نمی‌شده است. به گفته‌ی محققان بی‌شمار به علاوه‌ی نویسنده‌ی این باج‌افزار، Exotic هنوز در حال توسعه می‌باشد.

نویسنده‌ی این باج‌افزار می‌خواهد در میان محققان امنیتی معروف شود
MalwareHunterTeam نسخه‌ی ۱.۰ از این باج‌افزار را در ۱۲ اکتبر کشف کرد. در آن هنگام وی مشغول راه‌اندازی یک گروه تجزیه و تحلیل روی توییتر برای به اشتراک گذاشتن اطلاعات مربوط به این تهدید تازه با سایر تحلیل‌گران بود. همان‌طور که مرسوم است، یکی از محققان یک فیلم متعلق به عمل‌کرد این باج‌افزار را ضبط کرد، و سایر پژوهش‌گران را وارد بحث نمود.
چیزی که برای همه تعجب‌آور بود این است که نویسنده‌ی این باج‌افزار، با این پژوهش‌گر تماس گرفت و از زمانی که وی برای به نمایش‌ گذاشتن عمل‌کرد Exotic و تهیه‌ی ویدئو صرف کرده قدردانی نمود. توسعه‌دهنده‌ی Exotic حتی درخواست دوستی در اسکایپت را برای محقق مذکور ارسال نمود.
این حرکات بسیار تعجب‌آور است، زیرا توسعه‌دهندگان بدافزارها معمولاً همه‌ی توان خود را به کار می‌گیرند تا از تیررس نگاه پژوهش‌گران، به ویژه تحلیل‌گران باج‌افزار که بارها و بارها موفق به رمزگشایی الگوریتم‌های رمزنگاری شده‌اند، مخفی بمانند.
محققان توانستند ظرف دو روز بعد Exotic ۲.۰ و Exotic ۳.۰ را کشف کنند، اما متوجه شدند که هر دو نسخه حداقل تغییرات ممکن را انجام داده‌اند. ظاهراً هیچ کمپین یا هرزنامه‌ای از این تهدید بالقوه سوءاستفاده نکرده است.

Exotic پرونده‌ها را قفل کرده و فقط ۵۰ دلار را از قربانی درخواست می‌نماید
همان‌طور که قابلیت‌های Exotic نشان می‌دهد، این باج‌افزار پرونده‌ها را با الگوریتم‌ AES ۱۲۸ بیتی رمزنگاری می‌کند و از کاربر درخواست پرداخت باج ۵۰ دلاری در واحد بیت‌کوین می‌نماید.
این باج‌افزار در وهله‌ی اول پرونده‌ها را رمزنگاری می‌کند، یک نام تصادفی را برای آن‌ها انتخاب می‌نماید، سپس پسوند اصلی را با «.exotic» جای‌گزین می‌کند.
کشف Exotic ۱.۰ کار آسانی است، زیرا این باج‌افزار از تصویر هیتلر به عنوان پس‌زمینه‌ی هشدار باج‌خواهی استفاده می‌کند؛ شاید این ایده از باج‌افزار هیتلر که در ابتدای ماه آگوست پدیدار شد الهام گرفته شده باشد. دو نسخه‌ی بعدی دیگر این تصویر را نشان نمی‌دهند و از یک قفل کوچک صفحه‌نمایش به تقلید از باج‌افزار Jigsaw استفاده می‌کنند. هیچ نکته‌ی عجیب و غریبی وجود ندارد و بیشتر باج‌افزارها با چنین الگویی پیش می‌روند.
تنها ویژگی متمایز Exotic در واقع مشکلی بود که محققان به فکر فرو برد: این باج‌افزار با پویش مداوم رایانه‌های شخصی برای پرونده‌های تازه اضافه‌شده از سرعت آن‌ها می‌کاست.
در نهایت کاشف به عمل آمد که دست‌اندرکاران Exotic چندین پوشه را بیش از یک بار رمزگذاری می‌کنند.
این خطا کاملاً بی‌اهمیت است، و نشان می‌دهد که EvilTwin هیچ تجربه‌ای در خصوص کار با باج‌افزار ندارد، و این دقیقاً همان مسأله‌ای است که بسیاری از محققان امنیتی از ابتدا بدان مشکوک بودند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.