به گزارش آی تابناک : تنها در همین چند ماه گذشته شاهد تهدیدهای باج افزاری خطرناکی مانند واناکرای، پتیا و لیکرلاکر (LeakerLocker) بودیم که با حمله به سیستمهای بیمارستانها، کارخانه خودروسازی، مخابرات، بانکها و بسیاری شرکتهای تجاری دیگر باعث آشفتگی و هرج و مرج زیادی در سراسر دنیا شدند.
پیش از انتشار واناکرای و پتیا، سال گذشته نیز دو باج افزار معروف Mamba (اولین باج افزار رمز کننده دیسک سخت) و Locky باعث هرج و مرج و آشفتگی زیادی در سراسر دنیا شدند. گزارشهای جدید حاکی است این دو باج افزار دوباره در نسخهای جدید و با قابلیت تخریب بیشتر نسبت به سال گذشته گسترش یافتهاند.
باج افزار Locky
باج افزار Locky اولین بار در سال 2016 دیده و موجب آلوده شدن سازمانهای بسیاری در سراسر جهان شد. همین امر باعث شد یکی از بزرگترین حملههای باج افزاری آن زمان نام بگیرد.
باج افزار Locky با ترغیب افراد قربانی برای کلیک کردن روی محتوای مخرب فایل ضمیمه تقریباً تمامی فرمتهای فایلهای موجود در رایانه و شبکه فرد قربانی را رمزگذاری کرده و دسترسی به آنها را تا زمان پرداخت باج به صورت بیت کوین غیر ممکن میکند. این باج افزار چندین بار در نسخههای مختلف از طریق توزیع بات نت Necurs و Dridex منتشر شده است.
این بار کارشناسان امنیتی هرزنامه جدیدی را کشف کردهاند که نوع جدیدی از باج افزار Locky به عنوان Diablo66 را توزیع کرده و رایانههای بسیاری از کشورهای جهان را هدف قرار داده است. بیشترین آلودگی در ایالت متحده آمریکا گزارش شده و پس از آن نیز کشور اتریش در مرتبه بعدی قرار دارد.
در ابتدا یک کارشناس امنیتی مستقل با نام مستعار Racco42 متوجه نسخه جدید Locky شد. این نسخه پس از اجرا، فایلهای رایانه آلوده را با پسوند.diablo6 رمزنگاری میکند.
این نسخه از باج افزار همانند نسخههای قبلی Locky از طریق یک ایمیل و به عنوان یک فایل ضمیمه حاوی فایل وردمایکروسافت به رایانه فرد قربانی ارسال میشود. هنگامی که این فایل باز میشود، یک اسکریپت VBS Downloaderr بر روی سیستم اجرا میشود و پس از آن تلاش میکند Locky Diablo6 payload را از سرورهای از راه دور ((remote file server) دانلود کند.
بعد از دانلود واجرا فایل، باج افزار با استفاده از کلید RSA-2048 (الگوریتم رمزنگاری AES CBC 256-bit) تمامی فایلهای رایانه آلوده را رمزگذاری میکند و پس از آن پیامی را نمایش میدهد که از قربانی میخواهد مرورگر Tor را دانلود و نصب کرده و برای اجرای اقدامات بعدی و پرداخت باج به وب سایت مهاجم مراجعه کنند.
در نسخه Locky Diablo6 از قربانیها درخواست میشود برای باز شدن فایلها مبلغ 0.49 بیت کوین (معادل بیش از 2,079 دلار) را پرداخت کنند.
متاسفانه در حال حاضر بازیابی فایلهای رمزگذاری شده با پسوند.Diablo6 غیر ممکن است بنابراین به کاربران توصیه میشود هنگام باز کردن فایلهای پیوست احتیاط کنند.
Mamba – باج افزار رمز کننده دیسک سخت
Mamba نوع دیگری از باج افزارهای قدرتمند و خطرناک است که به جای رمزگذاری چندین فایل رایانه آلوده، کل هارد دیسک را رمز گذاری میکند و تا زمان پرداخت باج استفاده از سیستم را غیر ممکن میکند.
در حملات باج افزاری دیگری از جمله واناکرای و پتیا تاکتیکهای مشابه Mamba به کار گرفته شده است؛ با این تفاوت که باج افزار Mamba با هدف تخریب و خرابی سیستم شرکتهای بزرگ و سازمان طراحی شده است، نه دریافت بیت کوین.
اواخر سال میلادی گذشته، این باج افزار به شبکه سیستم آژانس حمل ونقل شهری سانفرانسیسکو آمریکا حمله کرد و به مدت دو روز موجب تأخیر در حرکت قطارها، غیرغعال شدن سیستمهای پرداخت این آژانس و رایگان شدن بلیط برخی از ایستگاهها شد.
اکنون کارشناسان امنیتی کسپرسکی کمپین جدیدی را مشاهده کردهاند که باج افزار Mamba را توزیع میکند و شبکه شرکتهای بزرگ کشورها را به ویژه برزیل و عربستان سعودی هدف قرار داده است.
باج افزار Mamba از یک کد منبع باز به نام DiskCryptor برای رمزگذاری کامل دیسک سخت رایانههای آلوده به این باج افزار استفاده میکند. بنابراین هیچ راهی برای رمزگشایی دادهها وجود ندارد زیرا الگوریتمهای رمزگذاری استفاده شده در DiskCryptor بسیار قدرتمند هستند.
تاکنون مشخص نشده این باج افزار در ابتدا چگونه به شبکه شرکتها نفوذ میکند. کارشناسان امنیتی بر این باورند Mamba نیز همانند بسیاری از باج افزارها احتمالاً از طریق exploit kit، سایتهای مخرب یا ارسال فایل ضمیمه مخرب از طریق ایمیل وارد شبکه شرکتها میشود.
این باج افزار در پیامی که به قربانی ارسال میکند بلافاصله درخواست باج نمیکند. در این پیام تنها به قربانی اطلاع داده میشود که دیسک سخت سیستم رمزگذاری شده و برای دریافت کلید رمز گشایی به وی دو نشانی ایمیل و یک شماره شناسایی منحصر به فرد ارائه میدهد.
نحوه حفاظت از سیستم خود در مقابل حملات باج افزاری
در سالهای اخیر باج افزارها تبدیل به یکی از بزرگترین تهدیدها برای شرکتها و افراد معمولی شدهاند. در همین چند ماه گذشته شاهد گسترش این حملهها بودهایم.
در حال حاضر هیچ راهی برای رمزگشایی دادههای رمزگذاری شده با باج افزارهای Mamba و Locky وجود ندارد بنابراین به کاربران توصیه میشود به منظور حفاظت از سیستم خود، اقدامات پیشگیرانه را دنبال کنند. برخی توصیهها به شرح زیر است:
مراقب ایمیلهای فیشینگ باشید: همیشه در باز کردن اسناد ناخواستهای که از طریق ایمیل برای شما ارسال میشود احتیاط را رعایت کنید و تا قبل از آنکه از منبع آن مطمئن نشدهاید هرگز روی لینکهای موجود در آن اسناد کلیک نکنید.
مرتب از فایلهای سیستم خود پشتیبان گیری کنید: همیشه از فایلها و اسناد مهم خود یک فایل پشتیبان تهیه کنید. پشتیبان گیری فایلها زمانی سودمند است که اسناد خود را در یک حافظه خارجی که به ندرت به سیستم رایانهای شما متصل میشود، کپی کرده و نگهداری کنید.