رمزگشای رایگان برای باج‌افزار Philadelphia در دسترس قرار گرفت!

کارشناس امنیت شرکت Emsisoft، فابین ووسار امروز در گفتگو با Softpedia خبر از یک رمزگشای جدید ساخت خود داد که می‌تواند پرونده‌های رمزنگاری‌شده توسط یک خانواده باج‌افزار جدید موسوم به Philadelphia را رمزگشایی کند.

تعداد آلودگی‌های Philadelphia نسبتاً پایین است زیرا باج‌افزار مذکور هنوز به‌تازگی توسط سازنده آن، همان فرد متقلبی که Stampado را توسعه داد، منتشر شده است.

فابین ووسار پیش‌ از این یک رمزگشای رایگان را برای باج‌افزار Stampado نیز منتشر کرده بود. چون این دو خانواده باج‌افزار با یکدیگر مرتبط هستند و هر دو با زبان اسکریپت‌نویسی AutoIT کدنویسی شده‌اند، فابین ووسار توانست حالت فعالیت باج‌افزار Philadelphia را رمزگشایی کند و پیش از آنکه باج‌افزار بتواند هرگونه آسیبی وارد کند، یک رمزگشای کاملاً مؤثر را برای آن تولید نماید.

نفوذ به یک حساب کاربری متعلق به AlphaBay موجب کشف زودهنگام باج‌افزار Philadelphia شد!

خبر وجود باج‌افزار Philadelphia روز چهارشنبه هفته گذشته، ۷ سپتامبر، منتشر شد و این زمانی بود که کاربری با نام مستعار Arsalan۰۷۰۸ گفتگوی میان یک نفوذگر (SkrillGuide۲۰۱۵) و سازنده Philadelphia (The Rainmaker) را منتشر کرد.

Arsalan۰۷۰۸ ادعا می‌کند که به دستگاهی متعلق به یکی از کاربران بازار وب‌تاریک AlphaBay نفوذ کرده و توانسته است گفتگوی Jabber/XMPP میان این دو را استراق‌سمع کند. چون این کار غیرقانونی بود او از افشای جزئیات بیشتر امتناع کرد اما حمله نفوذ او خطر ورود یک باج‌افزار جدید در آینده را فاش کرد که از این بابت از او سپاسگزاریم.

در این گفتگو، کاربر Rainmaker در مورد نسخه‌ای از باج‌افزاری جدید به نام Philadelphia توضیح می‌دهد که نوشتن آن را به‌تازگی به پایان رسانده است و آن را به مبلغ ۴۰۰ دلار می‌فروشد. پیش‌ از این، او باج‌افزار Stampado را به قیمتی بسیار کمتر و فقط به مبلغ ۳۹ دلار فروخته بوده است.

Philadelphia از شبکه کارگزار منحصربه‌فرد اما ناامن C&C استفاده می‌کند!

در این گفتگو کاربر Rainmaker از ویژگی‌های جدید Philadelphia تمجید کرده و به سامانه ارتباطی C&C جدید باج‌افزار مذکور افتخار می‌کرد. این سامانه از پل‌های (کارگزارهای واسطه یا پروکسی‌ها) موسوم به Philadelphis Headquarter استفاده می‌کند که به یک کارگزار اصلی گزارش می‌دهند. همین ساختار کارگزار C&C در میان تروجان‌های دسترسی از راه دور (RAT ها) مثل Orcus و Blackshades نیز شایع است.

لارنس آبرامز ، تحلیلگر بدافزار و مؤسس شرکت رایانه‌ای Bleeping Computer، چند مشکل را در این ساختار پیدا کرد که آن‌ها را در گزارش خود بیان کرده است.

او نوشت: «یک مشکل بنیادی در به‌کارگیری این پل وجود دارد. اگر این پل‌ها روی شبکه‌های گمنام مثل TOR ذخیره‌سازی نشوند به‌احتمال‌زیاد کشف خواهند شد و به‌سرعت از کار می‌افتند.»

چون آدرس این پل‌ها درون کد منبع Philadelphia آمده است و به‌طور خودبه‌خود به دست نمی‌آید اگر کارگزارها از کار بیفتند قربانیان در وضعیت تأسف‌باری قرار می‌گیرند؛ نه می‌توانند باج را بپردازند و نه پرونده‌های خود را رمزگشایی کنند.

صفحه کنترل باج‌افزار دارای کلید Mercy است!

یکی دیگر از ویژگی‌های شایان‌ذکر Philadelphia وجود کلید Mercy برای خریداران آن است. این گزینه زمانی ظاهر می‌شود که آن‌ها بخواهند پرونده‌های فرد قربانی را بدون پرداخت باج رمزگشایی کنند.

در حال حاضر، محققان امنیتی یک نمونه هرزنامه‌ را شناسایی کرده‌اند که حاوی اخطاری در مورد منقضی شدن پرداخت است. این هرزنامه از سوی وزارت تأمین مالی برزیل که به این باج‌افزار آلوده‌شده است ارسال می‌شود.

شما می‌توانید آلودگی باج‌افزار Philadelphia را از طریق نام‌های تصادفی بسیار طولانی پرونده‌های رمزنگاری‌شده و پسوند .locked شناسایی کنید.

Philadelphia پرونده‌ها را در فواصل زمانی تصادفی حذف می‌کند!

باج‌افزار مذکور درخواست ۰.۳ بیت کوین به‌عنوان باج می‌کند که معادل ۲۱۰ دلار است. آگاه باشید که اگر قربانی در پرداخت وجه باج درخواستی، تعلل کند Philadelphia تعداد از پیش مشخص شده‌ای از پرونده‌ها را از رایانه آلوده حذف می‌کند.

قربانیان باید به‌سرعت تصمیم بگیرند که می‌خواهند وجه باج را بپردازند یا رمزگشای ووسار را بارگذاری کنند. اگر در فرآیند رمزگشایی تعلل کنند بخش قابل‌توجهی از پرونده‌های آن‌ها حذف خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.