فعالیت باج‌افزار TorrentLocker‌ پس از دو سال از زمان شناسایی

باج‌افزار TorrentLocker که با نام‌های Crypt۰L۰cker و CryptoLocker نیز در حوزه اینترنت و رایانه شناخته می‌شود، طبق اخبار این حوزه هنوز هم به فعالیت خود ادامه می‌دهد. این باج‌افزار که دو سال پیش شناسایی شد، بلافاصله توسط محققان امنیتی مورد تحلیل قرار گرفت.

بررسی‌های انجام‌شده در مورد باج‌افزارها نشان می‌دهد که معمولاً انواع مختلف باج‌افزارها تنها چند هفته بعد از فعالیت منسوخ می‌شوند و تعداد کمی نیز تا یک سال به فعالیت خود ادامه می‌دهند و سپس به این سرنوشت دچار می‌شوند. نکته‌ای که در خصوص باج‌افزار TorrentLocker برای کاربران خوشایند نیست،‌ این است که این باج‌افزار پس از دو سال فعالیت، هنوز هم دستگاه‌های کاربران را آلوده می‌کند.

نکته عجیب دیگر در این خصوص که توسط شرکت امنیت مجازی ESET در اسلواکی طی هفته گذشته اعلام شد، این است که این باج‌افزار تمامی اقدامات خود را با موفقیت به انجام می‌رساند. کارشناسان این شرکت اعلام کرده‌اند که تغییرات متعددی را در روش کار این باج‌افزار شناسایی کرده‌اند، اما به طور کلی، تغییر بخصوصی در این باج‌افزار در مقایسه با دو سال پیش رخ نداده است. محققان دلیل فعالیت ادامه‌دار این باج‌افزار پس از گذشت دو سال را کدهای این باج‌افزار می‌دانند که اشکالات کمی در آن دیده می‌شود و علاوه بر این، از روش‌های رمزنگاری قوی استفاده می‌کند.

بررسی‌های انجام‌شده در خصوص نحوه کار این باج‌افزار نشان می‌دهد که تمامی پرونده‌های موردحمله این باج‌افزار ابتدا توسط الگوریتم AES-۲۵۶-CBC رمز می‌شوند و سپس کلید رمزگشایی، خود با استفاده از یک الگوریتم کلید دوتایی RSA رمیز می‌شود. این الگوریتم کلید را در سامانه نگهداری می‌کند و کلید دیگر را به کارگزار دستور و کنترل طراح باج‌افزار ارسال می‌کند.

یکی از تغییراتی که در طول این مدت در این باج‌افزار دیده می‌شود، روش مدیریت کارگزارهای دستور و کنترل است. محققان امنیتی تلاش خود را برای ردیابی ارتباط میان کارگزارها انجام می‌دهند و شرکت‌های میزبان نیز آن‌ها را قطع می‌کنند. این اتفاق حتی در صورت رمزنگاری این ارتباطات انجام می‌شود.

نمونه‌های جدید باج‌افزار TorrentLocker به منظور جلوگیری از قطع ارتباط کارگزارها و همچنین ترغیب کاربران به پرداخت باج درخواستی، از نشانی‌های وب پیازی استفاده می‌کنند. وبگاه‌های این نشانی‌ها توسط شبکه Tor در دسترس کاربران قرار می‌گیرد. در هنگام غیرفعال شدن کارگزارهای دستور و کنترل توسط محققان و کارشناسان، فرآیند باج‌افزاری در این شبکه لغو می‌شود.

نکته قابل‌ذکر در اینجا این است که باج‌افزار TorrentLocker اولین نمونه‌ای نیست که از شبکه Tor استفاده می‌کند و تروجان Ursnif نیز قبلاً از این شبکه استفاده کرده است.

باج‌افزار TorrentLocker علاوه بر استفاده از Tor به عنوان کانال ارتباطی کارگزارهای دستور و کنترل، نشانی‌های IP کاربران را نیز بررسی می‌کند و یادداشت‌های باج‌خواهی را طبق زبان کاربر تنظیم می‌کند.

بر اساس بررسی‌های شرکت ESET طراحان این باج‌افزار با استفاده از رایانامه‌های دارای هرزنامه با ظاهر فاکتورهای یک شرکت محلی، کاربران خود را در کشورهای مختلف مانند استرالیا، اتریش، جمهوری چک، دانمارک، آلمان، ایتالیا، هلند، نروژ، لهستان، اسپانیا،‌ سوئد، سوئیس، ترکیه و انگلستان مورد حمله قرار می‌دهند. همچنین بررسی‌ها نشان می‌دهد که این باج‌افزار کدهایی را برای جلوگیری از حمله به کاربران چینی، روسی، اوکراینی و آمریکایی دارد. این در حالی است که این چهار کشور در گروه کشورهایی هستند که بیشتر نمونه‌های باج‌افزارها همواره تمایل خاصی برای حمله به کاربران آن‌ها نشان می‌دهند.

۲_۶۳

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.