رمزگشایی دوباره باج‌افزار Jigsaw

باج‌افزار Jigsaw برای دومین بار در عمر چهار ماهه خود، مورد رمزگشایی قرار گرفت. این باج‌افزار با استفاده از ابزار به‌ظاهر زیبا مانند گرافیک‌ها و ساعت‌های دیجیتال اینترنتی کاربران را فریب می‌دهد و می‌توان کدهای آن را به‌گونه‌ای دست‌کاری کرد که تصور کند باج درخواستی از کاربر توسط وی پرداخت ‌شده است، در صورتی که در اصل این اتفاق نیفتاده است.

محققان شرکت Check Point برای کسانی که مورد حمله و سوءاستفاده این باج‌افزار قرارگرفته‌اند، راه‌حلی را ارائه کرده‌اند. این باج‌افزار نام خود را به دلیل روش کار خود به‌صورت آلوده کردن رایانه و سپس نشان دادن یک تصویر از شخصیت «Billy the Puppet» در سری فیلم‌های «Saw» یا «اره» گرفته است. باج‌افزار Jigsaw سپس کاربر را تهدید می‌کند که ۰.۴ بیت کوین و یا ۱۵۰ دلار را به عنوان باج پرداخت کند و در صورتی که این کار را نکند، رایانه را راه‌اندازی مجدد خواهد کرد و این کار به دلیل برنامه‌های مخرب باج‌افزار، باعث حذف ۱۰۰۰ پرونده موجود در رایانه خواهد شد.

این باج‌افزار علی‌رغم وجود راه‌های متعدد برای رمزگشایی آن، ‌باز هم به کار خود ادامه می‌دهد. شرکت Check Point که یافته‌های خود در مورد این باج‌افزار را چاپ کرده است، اعلام کرد که روش کار این باج‌افزار برای اطلاع از پرداخت یا عدم پرداخت باج توسط کاربر را کشف و شناسایی کرده است.

این شرکت در اطلاعیه خود در این باره نوشته است: «در فرآیند دریافت باج در این باج‌افزار، بخشی با این نام وجود دارد: «من باج را پرداخت کردم، اکنون پرونده‌های من را بازگردان!» . وقتی کاربر این بخش را کلیک می‌کند، باج‌افزار یک درخواست HTTP نوع GET را به نشانی btc.blockr[.]io/api/v۱/address/balance/ ارسال می‌کند. این مسئله ما را به این فکر وادار کرد که شاید بتوانیم با تغییر درخواست، باج را به سمت یک حساب دیگر هدایت کنیم. شاید هم بتوان با دست‌کاری فرآیند کار باج‌افزار، به گونه‌ای عمل کرد که باج‌افزار تصور کند باج توسط کاربر پرداخت‌ شده است، در صورتی که این کار رخ نداده است. پس از بررسی‌ها،‌ این روش مؤثر بود. با قرار دادن میزان متغیر «balance» در بخش پاسخ به درخواست بین مقدار یک تا ده، باج‌افزار تصور می‌کند که باج پرداخت‌ شده است و به همین دلیل اقدام به رمزگشایی از پرونده‌ها کرده و سپس از رایانه کاربر به صورت خودکار خود را حذف می‌کند.»

تاکنون مشخص نشده است که آیا نفوذ گران و طراحان این باج‌افزار خود به این مسئله و این نقص در باج‌افزار پی برده‌اند یا خیر، اما مسئله‌ای که وجود دارد این است که بسیاری از کاربران در مواجهه با این باج‌افزار، بدون آگاهی از این نقص اقدام به پرداخت باج می‌کنند.

تنها چند روز پس از پیدایش این باج‌افزار، کارشناسان حوزه جرم‌شناسی رایانه‌ای در گروه MalwareHunterTeam و همچنین دو تن از محققان معروف این حوزه با نام‌های میشائیل گیلسپای و لاورنس آبرامس اقدام به طراحی یک ابزار رمزگشایی کردند که به کاربران این امکان را می‌دهد پرونده‌های مورد حمله این باج‌افزار را به‌صورت رایگان بازگردانند. پس از این اقدام، طراحان باج‌افزار Jigsaw اقدام به به‌روزرسانی کدهای این باج‌افزار کردند و در هر مرحله از اقدامات خود از تصاویر مختلف و گول‌زننده سینمایی استفاده می‌کردند. تصویر Hitman در یک بازی رایانه‌ای، تصاویری از فیلم Invisible Empire و برخی تصاویر مستهجن، از نمونه تصاویر مختلف استفاده ‌شده توسط این باج‌افزار است.

نکته جالب در این خصوص این است که قابلیت رمزگشایی این باج‌افزار، در تمامی نسخه‌های آن، بدون تغییر بوده و به راحتی قابل انجام است. آبرامس که وبگاه BleepingComputer را مدیریت می‌کند، در این باره اشاره کرد که ابزار کدنویسی مورد استفاده برای این باج‌افزار، از بهترین نمونه‌های موجود در این زمینه نیستند و بنابراین نباید این مسئله را زیاد جدی گرفت. وی در ادامه خاطرنشان کرد: «در عین حال باید توجه داشت که اگر زود متوجه فعالیت این باج‌افزار نشویم، ممکن است زیان‌های قابل‌توجهی به اطلاعات وارد شود.»

لوتم فینکلستین، مدیر گروه MalwareHunterTeam و مدیر بخش اطلاعاتی عملیاتی شرکت Check Point بر این باور است که فعالیت این باج‌افزار از این پس گسترش خواهد یافت. وی در یک یادداشت در این باره عنوان کرد: «حقیقت ماجرا این است که شرکت‌های امنیتی و محققان مستقل این حوزه ابزار رمزگشایی مختلفی را برای این باج‌افزار طراحی و منتشر کرده‌اند، اما این اقدامات نتوانسته آن‌طور که باید، طراحان این باج‌افزار را از ساخت و انتشار نسخه‌های جدید بازدارد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]