تاریخ انتشار: ۰۹:۴۲ - ۲۹ مرداد ۱۳۹۶ - 2017 August 20
باج افزارها تنها چند سال است که ظهور کرده‌اند اما دردسرها و مشکلات آزاردهنده آن‌ها تقریباً گریبان گیر همه در سراسر دنیا از شرکت‌های تجاری و موسسه‌های مالی گرفته تا بیمارستان‌ها و افراد معمولی شده و مجرمان سایبری توانسته‌اند با استفاده از آن‌ها میلیون‌ها دلار به دست آورند.

به گزارش آی تابناک : تنها در همین چند ماه گذشته شاهد تهدیدهای باج افزاری خطرناکی مانند واناکرای، پتیا و لیکرلاکر (LeakerLocker) بودیم که با حمله به سیستم‌های بیمارستان‌ها، کارخانه خودروسازی، مخابرات، بانک‌ها و بسیاری شرکت‌های تجاری دیگر باعث آشفتگی و هرج و مرج زیادی در سراسر دنیا شدند.
پیش از انتشار واناکرای و پتیا، سال گذشته نیز دو باج افزار معروف Mamba (اولین باج افزار رمز کننده دیسک سخت) و Locky باعث هرج و مرج و آشفتگی زیادی در سراسر دنیا شدند. گزارش‌های جدید حاکی است این دو باج افزار دوباره در نسخه‌ای جدید و با قابلیت تخریب بیشتر نسبت به سال گذشته گسترش یافته‌اند.

باج افزار Locky

باج افزار Locky اولین بار در سال 2016 دیده و موجب آلوده شدن سازمان‌های بسیاری در سراسر جهان شد. همین امر باعث شد یکی از بزرگ‌ترین حمله‌های باج افزاری آن زمان نام بگیرد.
باج افزار Locky با ترغیب افراد قربانی برای کلیک کردن روی محتوای مخرب فایل ضمیمه تقریباً تمامی فرمت‌های فایل‌های موجود در رایانه و شبکه فرد قربانی را رمزگذاری کرده و دسترسی به آن‌ها را تا زمان پرداخت باج به صورت بیت کوین غیر ممکن می‌کند. این باج افزار چندین بار در نسخه‌های مختلف از طریق توزیع بات نت Necurs و Dridex منتشر شده است.
این بار کارشناسان امنیتی هرزنامه جدیدی را کشف کرده‌اند که نوع جدیدی از باج افزار Locky به عنوان Diablo66 را توزیع  کرده و رایانه‌های بسیاری از کشورهای جهان را هدف قرار داده است. بیشترین آلودگی در ایالت متحده آمریکا گزارش شده و پس از آن نیز کشور اتریش در مرتبه بعدی قرار دارد.
در ابتدا یک کارشناس امنیتی مستقل با نام مستعار Racco42 متوجه نسخه جدید Locky شد. این نسخه پس از اجرا، فایل‌های رایانه آلوده را با پسوند.diablo6 رمزنگاری می‌کند.
این نسخه از باج افزار همانند نسخه‌های قبلی Locky از طریق یک ایمیل و به عنوان یک فایل ضمیمه حاوی فایل وردمایکروسافت به رایانه فرد قربانی ارسال می‌شود. هنگامی که این فایل باز می‌شود، یک اسکریپت VBS Downloaderr بر روی سیستم اجرا می‌شود و پس از آن تلاش می‌کند Locky Diablo6 payload را از سرورهای از راه دور ((remote file server) دانلود کند.
بعد از دانلود واجرا فایل، باج افزار با استفاده از کلید RSA-2048 (الگوریتم رمزنگاری AES CBC 256-bit) تمامی فایل‌های رایانه آلوده را رمزگذاری می‌کند و پس از آن پیامی را نمایش می‌دهد که از قربانی می‌خواهد مرورگر Tor را دانلود و نصب کرده و برای اجرای اقدامات بعدی و پرداخت باج به وب سایت مهاجم مراجعه کنند.
در نسخه Locky Diablo6 از قربانی‌ها درخواست می‌شود برای باز شدن فایل‌ها مبلغ 0.49 بیت کوین (معادل بیش از 2,079 دلار) را پرداخت کنند.
متاسفانه در حال حاضر بازیابی فایل‌های رمزگذاری شده با پسوند.Diablo6 غیر ممکن است بنابراین به کاربران توصیه می‌شود هنگام باز کردن فایل‌های پیوست احتیاط کنند.

Mamba – باج افزار رمز کننده دیسک سخت

Mamba نوع دیگری از باج افزارهای قدرتمند و خطرناک است که به جای رمزگذاری چندین فایل رایانه آلوده، کل هارد دیسک را رمز گذاری می‌کند و تا زمان پرداخت باج استفاده از سیستم را غیر ممکن می‌کند.
در حملات باج افزاری دیگری از جمله واناکرای و پتیا تاکتیک‌های مشابه Mamba به کار گرفته شده است؛ با این تفاوت که باج افزار Mamba با هدف تخریب و خرابی سیستم شرکت‌های بزرگ و سازمان طراحی شده است، نه دریافت بیت کوین.
اواخر سال میلادی گذشته، این باج افزار به شبکه سیستم آژانس حمل ونقل شهری سانفرانسیسکو آمریکا حمله کرد و به مدت دو روز موجب تأخیر در حرکت قطارها، غیرغعال شدن سیستم‌های پرداخت این آژانس و رایگان شدن بلیط برخی از ایستگاه‌ها شد.
اکنون کارشناسان امنیتی کسپرسکی کمپین جدیدی را مشاهده کرده‌اند که باج افزار Mamba را توزیع می‌کند و شبکه شرکت‌های بزرگ کشورها را به ویژه برزیل و عربستان سعودی هدف قرار داده است.
باج افزار Mamba از یک کد منبع باز به نام DiskCryptor برای رمزگذاری کامل دیسک سخت رایانه‌های آلوده به این باج افزار استفاده می‌کند. بنابراین هیچ راهی برای رمزگشایی داده‌ها وجود ندارد زیرا الگوریتم‌های رمزگذاری استفاده شده در DiskCryptor بسیار قدرتمند هستند.

تاکنون مشخص نشده این باج افزار در ابتدا چگونه به شبکه شرکت‌ها نفوذ می‌کند. کارشناسان امنیتی بر این باورند Mamba نیز همانند بسیاری از باج افزارها احتمالاً از طریق exploit kit، سایت‌های مخرب یا ارسال فایل ضمیمه مخرب از طریق ایمیل وارد شبکه شرکت‌ها می‌شود.
این باج افزار در پیامی که به قربانی ارسال می‌کند بلافاصله درخواست باج نمی‌کند. در این پیام تنها به قربانی اطلاع داده می‌شود که دیسک سخت سیستم رمزگذاری شده و برای دریافت کلید رمز گشایی به وی دو نشانی ایمیل و یک شماره شناسایی منحصر به فرد ارائه می‌دهد.

نحوه حفاظت از سیستم خود در مقابل حملات باج افزاری
در سال‌های اخیر باج افزارها تبدیل به یکی از بزرگ‌ترین تهدیدها برای شرکت‌ها و افراد معمولی شده‌اند. در همین چند ماه گذشته شاهد گسترش این حمله‌ها بوده‌ایم.
در حال حاضر هیچ راهی برای رمزگشایی داده‌های رمزگذاری شده با باج افزارهای Mamba و Locky وجود ندارد بنابراین به کاربران توصیه می‌شود به منظور حفاظت از سیستم خود، اقدامات پیشگیرانه را دنبال کنند. برخی توصیه‌ها به شرح زیر است:
مراقب ایمیل‌های فیشینگ باشید: همیشه در باز کردن اسناد ناخواسته‌ای که از طریق ایمیل برای شما ارسال می‌شود احتیاط را رعایت کنید و تا قبل از آنکه از منبع آن مطمئن نشده‌اید هرگز روی لینک‌های موجود در آن اسناد کلیک نکنید.
مرتب از فایل‌های سیستم خود پشتیبان گیری کنید: همیشه از فایل‌ها و اسناد مهم خود یک فایل پشتیبان تهیه کنید. پشتیبان گیری فایل‌ها زمانی سودمند است که اسناد خود را در یک حافظه خارجی که به ندرت به سیستم رایانه‌ای شما متصل می‌شود، کپی کرده و نگهداری کنید.





منبع : هکرنیوز
ارسال نظر
نام:
ایمیل:
* نظر:
فیلم
جدیدترین اخبار