یک ابزار رمزگشا باج‌افزار CryptXXX را باز می‌کند

هنگامی که کیت‌های بهره‌بردار بخصوص Angler به گسترش آلودگی‌های باج‌افزارهای پرداختن، کاربران اینترنت به ستوه آمده‌اند.
به نظر می‌رسد که آخرین زنجیره بدخیم کیت Angler باج‌افزار CryptoXXX است که محققان مؤسسه‌های Proofpoint و Fox IT توسعه‌دهندگان این باج‌افزار را به همان گروه‌هایی مرتبط می‌دانند که باج‌افزار قدیمی Reveton و بدافزار کلاهبرداری در تبلیغات Bedep را توسعه داده‌اند.
باج‌افزار CryptXXX درخواست مبلغ ۵۰۰ دلار را به صورت بیت‌کوین از قربانی دارد تا پرونده‌های او را رمزگشایی کند،‌ و با توجه به نفوذ کیت Angler و به‌روزرسانی‌های مکرر آن، این باج‌افزار به سرعت در خط مقدم باج‌افزارهایی مورد توجه قرار گرفته است.
CryptoXXX‌ به صورت ویژه‌ای آسیب‌رسان است، زیرا نه تنها پرونده‌های محلی موجود در رایانه را (پرونده‌های رمزگشایی شده پسوند .crypt به خود می‌گیرند) رمزگذاری می‌کند، بلکه پرونده‌های را که در دستگاه‌های جانبی و متصل رایانه قرار دارند نیز بعد از آلودگی رمزگذاری می‌کند. همچنین این بدافزار دارای قابلیت‌های دیگری فراتر از رمزگذاری پرونده‌های محلی است. این بدافزار پرونده‌ها را کپی می‌کند و قربانی را در معرض افشای هویت قرار داده و بیت‌کوین‌هایی را که در درایوهای داخلی رایانه قرار داشته باشند، سرقت می‌کند.
محققان آزمایشگاه کسپرسکی امروز یک راه‌حلی را برای قربانیان ارائه کرده‌اند، یک ابزار که به آن‌ها کمک می‌کند تا پرونده‌هایی را که به وسیله باج‌افزار CryptXXX رمزگذاری شده‌اند، بازیابی کنند.
فدور سینیستین تحلیلگر ارشد بدافزار در آزمایشگاه کسپرسکی می‌گوید: «این بدافزار حاوی یک ضعف آشکار نشده در اجرای رمزگذاری است که راه را برای توسعه‌دهندگانی که به دنبال رمزگشایی آن‌ها هستند باز می‌کند. این قابلیت رمزگشایی به ابزار باج‌افزار موجود اضافه شده است.»
سینیستین اضافه می‌کند: «به نظر می‌رسد که کاری خطرناک به خاطر کیت Angler در پیش روست (برای مثال قابلیت انتشار گسترده). چرا که قابلیت‌های دیگری نیز در این باج‌افزار وجود دارد که می‌تواند داده‌ها را سرقت کند،‌ حتی با وجودی که قربانی موفق شود که پرونده‌ها را بازگشایی کند».
سینیستین می‌گوید که این ابزار رمزگشایی دست کم به یک نسخه اصلی و رمزگشایی نشده از یک پرونده‌ی رمزگذاری شده توسط CryptXXX نیاز دارد.
او می‌گوید:‌«اگر جفت صحیح به او داده شود، این ابزار می‌تواند همه پرونده‌هایی را که هم اندازه و یا کوچکتر از اندازه پرونده جفت او هستند رمزگشایی کند. در بیشتر مواقع قربانی موفق می‌شود تا یک نسخه‌ی اصلی از یکی از پرونده‌های رمزگشایی شده پیدا کند. این پرونده می‌تواند در یک حافظه فلش درایور که به دستگاه متصل نبوده است یا یک دستگاه ذخیره سازی خارجی دیگر و یا در صندوق رایانامه و یا در حافظه ابری و یا در یک رایانه دیگر و … قرار داشته باشد. در مورد CryptXXX اگر قربانی یک پرونده‌ی اصلی بزرگ را پیدا کند، قادر خواهد بود تا همه پرونده‌های در خطر افتاده را که هم اندازه آن و یا کوچکتر هستند رمزگشایی کند».
باج‌افزار CryptoXXX توسط محققان Proofpoint در ۱۵ آوریل یافت شد و همانطور که در وبلاگ این شرکت گفته شده است. زمانی‌که یک آلودگی از سوی کیت Angler پیدا شد که در حال انتقال Bedep‌ و یک محموله باج‌افزار و یک بدافزار بانکی Dridex بود، پژوهش‌گران این باج‌افزار جدید را شناسایی کرده‌اند.
حضور بدافزار Bedep به محققان گوشزد می‌کرد که ممکن است CryptoXXX دارای امکانات بیشتری باشد. Bedep در چندین حمله دیگر نیز استفاده شده بود تا بدافزارهای دیگری را نظیر Pony‌ که یک بدافزار سرقت رمز عبور است، بارگذاری کند. در این مورد، شرکت Proofpoint می‌گوید که CryptXXX به جمع‌آوری اطلاعات نرم‌افزارهای پیام‌رسان، اعتبارنامه‌های محلی FTP، مشتریان رایانامه محلی پرداخته و همچنین داده‌های مرورگر را نظیر کوکی‌ها جمع می‌کند.
باج‌افزار Reventon نسبتاً از فوریه ۲۰۱۵ و هنگامی که در آلودگی‌های کیت Angler دیده شد، ساکت بوده است. Proofpoint چندین شباهت میان Reveton و CryptXXX پیدا کرده است، نظیر اینکه هر دو آن‌ها در دلفی نوشته شده‌اند و هر دو از یک پروتکل مرکز کنترل و فرماندهی استفاده می‌کنند، و هر دو آن‌ها قبل از شروع به هدف قرار دادن دستگاه‌های ذخیره‌سازی متصل، تأخیری دارند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap