کمیته رکن چهازرم – یک نسخه جدید از باجافزار کریپتو به نام PadCrypt با قابلیتهای گفتوگوی زنده عرضه شده است که قربانیان با استفاده از آن میتوانند با مهاجمان در مورد پرداخت باج و اطلاعات دیگر صحبت کنند.
به گزارش کمیته رکن چهارم،یک نسخه جدید از باجافزار کریپتو به نام PadCrypt با قابلیتهای گفتوگوی زنده عرضه شده است که قربانیان با استفاده از آن میتوانند با مهاجمان در مورد پرداخت باج و اطلاعات دیگر صحبت کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باجافزار PadCrypt که بهوسیله محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانوادههای باجافزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناختهشده این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co و cloudnet[.]online از کار افتادهاند و بنابراین این باجافزار دیگر تهدیدی عمده محسوب نمیشود.
اکنون یک باجافزار دیگر PadCrypt که بهنظر میرسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».
گفتوگوی زنده که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصربهفرد این باجافزار PadCrypt نیست. این بدافزار با یک حذفکننده خودکار نیز وارد عمل میشود. با این حال این ابزار پروندههایی را که به وسیله این بدافزار رمزگذاری شدهاند، رمزگشایی نمیکند.
Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق میکند میگوید: «قابلیتی نظیر گفتوگوی زنده میتواند بهصورت بالقوه میزان پرداختها را بالا ببرد، چراکه قربانی به این شکل «پشتیبانی» دریافت میکند و در فرآیند پیچیده انجام پرداخت راهنمایی میشود. ما اکنون یک باجافزار را دیدهایم که به شما اجازه میدهد تا یک پرونده اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما میبینیم یک باجافزار یک حذفکننده خودکار را به همراه دارد. بهمحض اینکه این حذفکننده خودکار اجرا شود، همه یادداشتهای این بدافزار و پروندههایی که به آلودگی Padcrypt بهنوعی مربوط میشوند از بین میبرد؛ اما متأسفانه همه پروندهها بهصورت رمزگذاری شده در جای خود باقی میمانند.»
PadCrypt از طریق هرزنامه گسترش مییابد. رایانامه حاوی آن شامل یک پیوند به یک پرونده zip است و در بردارنده پروندهای است که تلاش میکند خود را بهعنوان یک پرونده پیدیاف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی میکند که این پرونده همان چیزی نیست که خود را معرفی میکند. اگر این پرونده اجرا شود بدافزار به همراه یک ابزار گفتوگوی زنده و قابلیت حذف خودکار نصب میشود.
PadCrypt به بررسی درایورهای سامانه برای انطباق آنها با فهرست پسوندهای تعریفشده در خود میکند که معمولاً پسوندهای معمول نظیر .doc، jpg، gif و … هستند. این پروندهها با استفاده از AES رمزنگاری میشوند و پروندههای رمزگذاریشده با پسوند .enc قرار میگیرند. همچنین این باجافزار نامهای پروندههای رمزگذاریشده را در یک پرونده متنی text ذخیره میکند. PadCrypt علاوه بر این کار نسخههای موقت این پروندهها در درایوهای سامانههای دیگر آسیبدیده را پاک میکند. درنهایت این بدافزار یک پرونده متنی Readme با دستورالعمل نحوه پرداخت باج ایجاد میکند.
Abrams میگوید: «صفحه این باجافزار دستورالعملهایی را نشان میدهد که چگونه میتوان ۳۵۰ دلار یا ۸ بیتکوین را از طریق PaySafeCard یا Ukash پرداخت کرد. این دستورالعمل علاوه بر این اظهار میدارد که شما ۹۶ ساعت فرصت دارید تا پرداخت را انجام دهید و یا کلید رمز از بین خواهد رفت. در این لحظه، هنوز مشخص نیست که راهی برای رمزگشایی این پروندهها بهصورت رایگان وجود داشته باشد.»
باجافزارها همچنان تهدیدی آزاردهنده برای تجارت هستند. آخرین حمله سطح بالا از این دست در روز جمعه افشا شد که در آن مرکز پزشکی Presbyterian هالیوود اعلام کرد سامانههای آن بهوسیله یک باجافزار مورد حمله قرار گرفته و پروندههای بیماران غیرقابل دسترس شدهاند. NBC در لسآنجلس از مقامات بیمارستان نقل میکند که فعالیتهای روزانه آنها تحت تأثیر قرار گرفته است و برخی از بیماران برای مداوا به بیمارستانهای دیگر فرستاده شدهاند، زیرا برخی از سامانههای حیاتی غیرقابل دسترسی بودهاند. NBC میگوید که در این بین مهاجمان درخواست بیش از ۳ میلیون دلار را بهعنوان باج کردهاند.
هفته گذشته در کنفرانس تحلیل امنیت آزمایشگاه کسپرسکی، Sergey Lozhkin، محقق امنیتی شرح داد که چگونه او با اجازه مقامات بیمارستان قادر بوده است تا به یک شبکه فناوری بیمارستانی در مسکو از طریق تنظیمات ضعیف مودم وایفای آن دسترسی پیدا کند. به این شکل او توانسته است که به رابط مدیریتی ناامنی دسترسی پیدا کند که با استفاده از آن میتواند دستگاهها و سامانههای پزشکی را در اختیار گیرد که بهوسیله پزشکان برای تشخیص و درمان استفاده میشوند.
مرجع : پایگاه اطلاعرسانی پایداری ملی
