پاسخ سوالات شما توسط Jornt van der Wiel متخصص باج‌افزار

بدافزارکمیته رکن چهارم – jornt عضو تیم تحقیقات جهانی و آنالیز و متخصص باج‌افزار و رمزگزاری می‌باشد. او در هلند زندگی می‌کند و بیش از دو سال است که برای لابراتوار کسپرسکی کار می‌کند.

به گزارش کمیته رکن چهارم،ما به خوانندگان این شانس را دادیم تا هرگونه سوالی در مورد باج‌افزار‌ها و رمزگزاری دارند از Jornt بپرسند و پاسخ‌ها در این مورد کاملا شگفت‌انگیز بود. حقیقتا سوالات زیادی در پست گذاشته شده وجود داشت، بنابراین ما آن‌ها را به دو دسته تقسیم کردیم. در این پست Jornt به سوالات متعدد در مورد باج‌افزار پاسخ می‌دهد و در پست بعدی وی در مورد رمزگزاری صحبت خواهد کرد.

آیا شما فکر می‌کنید که باج‌افزارها در آینده ما را نسبت به دیگر بدافزارها مثل ویروس‌های قدیمی‌تر و تروجان‌ها بیشتر و بیشتر نگران خواهند کرد؟
بله مطمئننا همینطور است. ما شاهد افزایش خانواده‌های جدید آن‌ها هستیم و تهدیدات هرروزه در حال بزرگتر شدن هستند. دلیل رشد باج‌افزارها بخاطر درآمدزایی آنها است.
مجرمی که افراد را آلوده می‌کند، درخواست باج کرده و قربانی باج می‌پردازد. در این صورت است که قربانی کلید را دریافت کرده و قادر به رمز گشایی فایل‌هایش می‌شود. معمولا مجرمان با قربانیان توسط چت صحبت می‌کنند و برای این کار نیازی به‌هیچ‌گونه ارتباط اضافی و فعل و انفعالات دیگری نیست زیراکه کار آنها فقط درخواست باج است وبس! و افراد به طور واقعی در مقابل با‌ج‌افزار بانکی قرار می‌گیرند.

چگونه می‌توانم از تاثیرات باج‌افزارها دوری کنم؟
. همیشه آخرین آپدیت نرم‌افزار خود را نصب کنید.
. هرگز بر روی لینک و فایل پیوست در ایمیل‌های مشکوک کلیک نکنید.
. پسوند فایل‌ها را در ویندوز فعال کنید (به طوری که شما به جای دیدن فایلpdf.exe.invoice، pdf. را ببینید.)
. یک راهکار امنیتی به روز کانفیگ شده با فناوری هوشمند داشته باشید.
. و برای زمانی که دچار مشکل می‌شوید یک بک‌آپ داشته باشید و آنها را به صورت آفلاین ذخیره داشته باشید یا فایل‌های خود را در یک اپلیکیشن ابری با نسخه نامحدود ذخیره کنید. (بنابراین حتی اگر فایل‌های رمزگزاری شده شما در یک درایو ذخیره شده باشند، زمانی که شما آنها را در یک ابر ذخیره کنید می‌توانید به راحتی آنها را بازیابی کنید).

به عنوان یک شخص، من بیشتر درگیر باج‌افزار‌ها می‌شوم یا شرکت‌ها؟
هدف باج‌افزارها تمامی افراد است. گاهی اوقات شرکت خاصی را مورد حمله قرار می‌دهند. اما اغلب، ما شاهد درگیری افراد با ایمیل‌های اسپم‌شده هستیم. از سویی دیگر، شرکت‌های بزرگ حاضر به پرداخت باج نمی‌شوند: آنها معمولا برای بک‌آپ‌های خود جایی را در نظر می‌گیرند. احتمال پرداخت باج در شرکت‌های کوچک بیشتر است زیراکه بازگردانی توسط بک‌آپ برای آنها هزینه بیشتری را نسبت به پرداخت باج به همراه خواهد داشت.

چه زمانی ممکن است فایل‌هایی که رمزگزاری شده‌اند، رمزگشایی شوند؟
در موارد زیر چنین چیزی امکان‌پذیر است:
• سازندگان نرم‌افزارهای مخرب گاهی اشتباه مرتکب می‌شوند و قفل را می‌شکنند. که در دو مورد باج‌افزار Petya و CryptXXX شاهد رمزگشایی توسط سازندگان آن بودیم. متاسفانه نمی‌توانم به شما لیستی از اشتباهاتی که سازندگان باج‌افزار به آن دچار شده‌اند را بدهم زیرا که این لیست به آن‌ها کمک می‌کند تا دوباره درگیر آن اشتباهت نشوند. اما به طور کلی، رمزگشایی فایل‌ها کار راحتی نیست. اگر تمایل دارید در مورد رمزگزاری فایل‌ها و اشتباهات افراد در این موارد بیشتر بدانید، من توصیه میکنم چالش رمزگزاری Matasano را سرچ کنید.
• سازندگان نرم‌افزارهای مخرب بعد از ابراز تاسف کلید یا کلید مستر را منتشر می‌کنند. کلید باج‌افزار تسلا کریپیت نمونه‌ای است که نظاره‌گر آن بودیم.
• سازمان‌های اجرای قانون یک سرور را با کلیدهایش به دست می‌گیرند و آن‌ها را اشتراک‌گذاری می‌کنند. سال گذشته، با استفاده از کلیدهای بازیابی توسط پلیس هلند، ما یک ابزار رمزگشا برای قربانیان CoinVault ایجاد کردیم.

گاهی اوقات پرداخت باج جواب می‌دهد ، اما هیچ تضمینی برای رمزگشایی فایل‌های شما هنگام پرداخت باج وجود ندارد. علاوه بر این، اگر شما باج بپردازید، از کسب و کار مجرمان سایبری حمایت کرده‌اید. در نتیجه شما در برابر افزایش تعداد باج‌افزارها و تعداد قربانیان توسط باج‌افزارها مسئول خواهید بود.

برای دستورالعمل برخورد با CryptXXX، شما می‌گویید که درکنار فایل‌های رمزگزاری شده، شما به فایل‌های رمزگزاری‌نشده هم نیاز دارید. به چه نرم‌افزاری اشاره دارد؟ و اگر فایل‌های رمزگزاری نشده را داشته باشیم دیگر نیازی به ابزار شما نیست؟
سوال بسیار خوبی است و ممنونم از مطرح کردن چنین سوالی! این نشان می‌دهد که ما باید در آینده واضح‌تر کار کنیم. این باج‌افزار تمام فایل‌های شما را با همان کلید رمزگزاری می‌کند. بنابراین اگر شما ۱۰۰۰ فایل رمزگزاری شده داشته باشید و از بین تمام این فایل‌ها تنها یک فایل اورجینال را در جایی دیگر ذخیره داشته باشید و شما تنها یک فایل را به ابزار رمزگشای ما بدهید، ما می‌توانیم با استفاده از کلید بازگشایی فایل‌ها را بازیابی کنیم و ۹۹۹ فایل دیگر شما رمزگشایی شود. با این حال وجود فایل اصلی نیاز است.

بدافزاری که فایل‌ها را رمزگزاری می‌کند تنها نوع باج‌افزارها است؟
خیر، باج‌افزاری که کامپیوتر را قفل می‌کند نیز وجود دارد. با این حال، راه دور زدن و یا حذف این نوع آسان‌‌تر است. به همین دلیل است که روز به رو از محبوبیت آن کاسته می‌‌شود. اگر شما به این موضوع علاقمند هستید و اطلاعات بیشتری در مورد آن می‌خواهید وبلاگ ما را دنبال کنید.

طبق چیزی که در مطبوعات بین‌المللی دیده می‌شود، پیدا کردن باج‌افزار‌ها کار بسیار دشواری است و مثل بازی موش و گربه می‌ماند. شما برای آنها راهکار دارید و به مقابله با آنها می‌پردازید. این حقیقت دارد؟
حقیقت اینگونه نیست. سیستم ما که نظاره گر رفتار فرآیندهای در حال اجرا است، می‌تواند بسیاری از حملات جدید باج‌افزارهای مهاجم را هنگام مواجه شدن، شناسایی کند، حتی اگر آنها باج‌افزارهای ناشناخته باشند. بله مواردی هم تا به حال وجود داشته است که توسط سیستم نظاره گر ما شناسایی نشده اند.

مجرمان تقضای پرداخت در بیت‌کوین می‌کنند، که ردیابی آن بسیار دشوار است، آیا ممکن است این مجرمان را ردیابی کرد و به آن‌ها رسید؟
حقیقتا ردیابی یک معامله بیت‌کوینی دشوار نیست. معاملات در Blockchain ثبت می‌گردد. این ماهیت بیت‌کوین است که بتوانید هرگونه معامله‌ای را ردیابی کنید. شما نمیدانید که چه کسی در آن سوی معامله نشسته است. اما سازمان‌های اجرای قانون می‌توانند رد حساب‌ها را بگیرند. هرچند که آن ها هم نیاز دارند که بدانند که پول متعلق به چه کسی بوده است.

آمیزنده بیت‌کوین به خنثی‌کننده اثر ردیابی معروف است. فکر میکنم که این آمیزنده به عنوان ماشینی است که شما را در بین بیت‌کوین‌های زیادی قرار می‌دهد و این بیت‌کوین‌ها چندین بار بین صاحبان ردوبدل می‌شود و این عملکرد باعث میشود تا شناسایی آن سخت‌تر شود. و در آخر، ما متوجه نخواهیم شد که کدام بیت‌کوین را باید شناسایی کرد. و شما می‌توانید فقط حدس بزنید، که این اتفاق زیاد رخ می‌دهد.

تحقیقات گوناگونی بر روی این موضوع صورت گرفته است، (شما می‌توانید تعداد زیادی از آن‌ها را در گوگل سرچ کنید) و این تحقیقات نشان می‌دهد ردیابی گاهی اوقات امکان‌پذیر است. به طور مختصر، گاهی اوقات ممکن است تراکنش‌های یک کیف پول را ردیابی کرد، اما این به راحتی انجام نمی‌گیرد حتی زمانی‌که شما کیف پول را پیدا کنید، بورس بیت‌کوین باید از طریق قانون، اعتبار صاحب کیف پول را فاش کند.

چند سال برای کشف و پیدا کردن سازندگان CoinVault زمان برد؟
داستان CoinVault از زمانی آغاز شد که Bart از تیم آنتی ویروس پاندا در توئیتر خود اعلام کرد نمونه های اضافی از CoinVault را یافته است. من متوجه شدم که دو عدد از این نمونه‌ها CoinVault نیستند اما به طور واضحی به آن ربط داشتند. ما تصمیم گرفتیم که بلاگی در این مورد بنویسیم و جدول زمانی از تکامل CoinVault را تهیه کنیم. هنگامی که ما ۹۰% از پست را کامل کردیم، برای (NHTCU) واحد ملی جرائم تکنولوژی این آمار را ارسال کردیم.

زمانی که این مقاله به پایان رسید، ما با توجه به بعضی راهنمایی‌ها به دو چیز مشکوک شدیم. طبیعی است که ما این اطلاعات را با NHTCU در میان گذاشتیم. بیشتر از یک ماه زمان برای کشف آن صرف شد هرچند البته تمام زمان ما صرف تحقیقات و بدست آوردن اطلاعات برای نوشتن وبلاگ و کار کردن روی CoinVault نشد. بعد از منتشر شدن پست وبلاگ، که NHTCU بیشتر از ۶ ماه بر روی این مورد تحقیق کرده بود، سرانجام به دستگیری مجرمان در ماه سپتامبر سال گذشته منجر شد.

سوال بسیار خوبی است، اما پاسخش کمی سخت است. ما تنها قادر هستیم آنها را ردیابی کنیم. به عنوان مثال، تمام معاملات بیت‌کوین به یک جیب (حساب) ختم می‌شود یا زمانی که پلیس یک سرور فرماندهی را تصاحب کند، تنها اطلاعات پرداخت بر روی آن دیده می‌شود. اما این راه یک ایده به شما می‌دهد، اجازه دهید بگوییم مجرمان توانسته اند ۲۵۰۰۰۰ کاربر را آلوده کنند (این برآورد حاصل گفتگو با کمپانی‌های بزرگ می‌باشد).

فرض می‌کنیم که هرکدام از آن ها حدود ۲۰۰$ برای رمزگشایی فایل‌های خورد پرداخت کرده باشند (متوسط پرداخت باج ۴۰۰$ است) . اگر تنها ۱% از قربانیان آلوده باج پرداخت کرده باشند، مبلغ پولی که عاید مجرمان شده است حدود ۵۰۰۰۰۰$ است.

آیا ممکن است یک کامپیوتر آلوده در یک شبکه محلی به گسترش باج‌افزار از طریق شبکه به دیگر کامپیوترهایی که همان سیستم عامل را دارند را بپردازد؟ یک مدل از باج‌افزار می‌تواند سیستم‌عامل‌های مختلف را تحت تاثیر قرار دهد؟
برای قسمت اول سوال باید عرض کنم که اگر باج‌افزار دارای قابلیت گسترش(باج‌افزارهای کِرمی)باشد، بله می‌تواند در شبکه پخش شود. برای مثال، Zcryptor ، SamSam دو نمونه از خانواده باج‌افزارها هستند که قابلیت گسترش را دارند.

پاسخ قسمت دوم سوال را اینگونه مطرح می‌کنم: بله، یک مدل از باج‌افزارها ممکن است چندین سیستم عامل را آلوده سازد، البته اگر هدف آن وب سرور باشد. به عنوان مثال: باج‌افزار می تواند سیستم مدیریت محتوای یک سرور در حال اجرا را در PHP مورد هدف قرار دهد.

پس باج‌افزار می‌تواند ویندوز کامپیوتر را که یک وب سرور با PHP نصب شده دارد را آلوده کند. و سپس می تواند قسمت‌های دیگر سرچ اینترنت را به منظور آلوده سازی کامپیوتر، اسکن کند. کامپیوتر بعدی می‌تواند سیستم عامل لینوکس داشته باشد اما با وب سرور PHP. اگر بخواهم به طور خلاصه مطرح کنم پاسخم بله است، باج‌افزار چند پلتفرمی هم وجود دارد.
هفته آینده Jornt به سوالات شما در مورد رمزگزاری پاسخ خواهد داد. پس به گوش باشید.
منبع: کسپرسکی آنلاین

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.