ظهور نوع جدیدی از باج‌افزار‌ها؛ رمز شدن پرونده‌ها بدون نیاز به دستور مهاجم

نام باج‌افزار دست‌کم سه سال است که در اخبار امنیتی مشاهده می‌شود. باج‌افزار‌ها دسته‌ی خطرناکی از بدافزار‌ها هستند که رایانه‌ی قربانی را آلوده کرده و پرونده‌های شخصی وی را رمز می‌کنند و سپس برای باز کردن رمز پرونده‌ها از وی تقاضای پرداخت باج می‌نمایند. اگر کاربر پول را مطابق خواسته‌ی مهاجم به موقع و دقیق پرداخت نماید، پرونده‌های وی بازگردانی می‌شوند. البته موارد متعددی از آلودگی به باج‌افزارها گزارش شده است که حتی پس از پرداخت باج، پرونده‌های کاربر بازگردانی نشده است.
سازوکار باج‌افزار‌ها تا به امروز به این نحو بود که پس از آلوده‌ شدن سامانه، یک کلید برای رمزگذاری پرونده‌ها از سمت کارگزار به سمت رایانه‌ی قربانی ارسال می‌شده است. بنابراین کلید خصوصیِ برای باز کردن پرونده‌ها هیچ‌گاه به سمت قربانی ارسال نمی‌شود و به این ترتیب فقط مهاجم به کلید خصوصی دست‌رسی دارد.
پژوهش‌گران آزمایشگاه CheckPoint گزارش داده‌اند که نوع جدیدی از باج‌افزار را مشاهده کرده‌اند که کلید خصوصی را به صورت محلی و بدون نیاز به دست‌رسی به کارگزار فرمان‌دهی و کنترل ایجاد می‌کند. تاکنون دست‌کم ۱۲ نسخه‌ی مختلف از این باج‌افزار مشاهده است، در واقع این باج‌افزار جدید نیست و اولین بار در جولای ۲۰۱۴ مشاهده شده است. این باج‌افزار توسعه‌دهندگان روسی دارد و هم‌اکنون بیش‌تر قربانیان هم از کشور روسیه هستند.
در آخرین نسخه‌ی این باج‌افزار پس از نصب در دستگاه قربانی، پرونده‌های حساس به صورت تصادفی و با یک کلید RSA که به صورت محلی در رایانه‌ی قربانی موجود است، رمز می‌شوند. سپس سه بار رمزگذاری با یک کلید عمومیِ RSA صورت می‌گیرد که کلید دوم در سمت کارگزار ذخیره شده است. پس از آن یک پیام به کاربر نمایش داده می‌شود که زبان آن روسی است و از وی می‌خواهد با یک آدرس رایانامه تماس بگیرد و پرونده‌ی رمز‌شده را برای مهاجم ارسال نماید. مهاجم سپس عدد تصادفی و کلید محلی را از روی پرونده‌ی رمز‌شده بازیابی می‌کند و با کلید‌های موجود در دست خودش می‌تواند پرونده را به صورت کامل بازگردانی نماید.
آدرس رایانامه‌ای که مهاجم به قربانی می‌دهد به سرعت تغییر می‌کند و معمولاً مربوط به حساب Gmail یا AOL است. مهاجم از قربانی مبلغی معادل ۳۰۰ دلار باج درخواست می‌کند تا پرونده‌های وی را بازگردانی نماید. البته قربانیان می‌گویند که پس از پرداخت وجه پرونده‌ها واقعاً بازگردانی شده است.
به نظر می‌رسد تجارت در حوزه‌ی باج‌افزار‌ها به قدری پرسود است که با گذشت زمان ارائه‌ی خدمات باج‌افزار‌ها بهتر می‌شود! استفاده از چندین کلید رمزگذاری و روش‌های جدید در ارتباط با قربانی به این دلیل است که حتی در صورت لو رفتن کلیدهای مهاجم روند بازگردانی پرونده‌ها مشخص نباشد. کسپراسکی موفق شده است با راه‌اندازی یک وب‌گاه در آدرس noransom.kaspersky.com و جمع‌آوری کلیدهای موجود از باج‌افزار‌ها به برخی قربانیان برای بازگردانی پرونده‌هایشان کمک نماید.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap