کمیته رکن چهارم – پژوهشگران امنیتی از وجود یک نقص جدی در باجافزار VECT 2.0 خبر دادهاند که بهجای رمزگذاری، باعث تخریب غیرقابل بازگشت فایلهای قربانیان میشود.
به گزارش کمیته رکن چهارم، این مشکل ناشی از یک خطای طراحی در نحوه مدیریت nonce در فرآیند رمزنگاری است. در این باجافزار، فایلهای بزرگ به بخشهای مختلف تقسیم شده و برای هر بخش یک nonce تولید میشود، اما تمامی این nonceها در یک فضای حافظه مشترک ذخیره میشوند که باعث بازنویسی (overwrite) مداوم آنها میشود.
در نتیجه این خطا، در پایان فرآیند تنها آخرین nonce باقی مانده و ذخیره میشود و nonceهای مربوط به سایر بخشهای فایل از بین میروند. این موضوع باعث میشود که تنها بخش محدودی از فایلها (حدود ۲۵ درصد انتهایی) قابل بازیابی باشد و بخش عمده دادهها برای همیشه از دست برود.
یک منبع مطلع از این موضوع که به دلایل امنیتی نخواست نامش فاش شود به کمیته رکن چهارم گفت که حتی در صورت پرداخت باج نیز امکان بازیابی کامل دادهها وجود ندارد، زیرا اطلاعات لازم برای رمزگشایی عملاً نابود شدهاند و نزد مهاجمان نیز ذخیره نشده است.
بر اساس بررسیها، این مشکل در تمامی نسخههای VECT 2.0 در سیستمعاملهای مختلف از جمله ویندوز، لینوکس و ESXi مشاهده شده است. همچنین مشخص شده که آستانه تشخیص فایلهای بزرگ در این بدافزار بسیار پایین (حدود ۱۲۸ کیلوبایت) تعیین شده، بهطوری که تقریباً تمامی فایلهای مهم مانند پایگاههای داده، ماشینهای مجازی، نسخههای پشتیبان و اسناد اداری تحت تأثیر قرار میگیرند.
پیشزمینه:
باجافزارها معمولاً با هدف رمزگذاری دادهها و دریافت باج برای بازگرداندن آنها طراحی میشوند، اما در برخی موارد، ضعف در پیادهسازی رمزنگاری میتواند منجر به از بین رفتن کامل دادهها شود. در سالهای اخیر، نمونههایی از این خطاها مشاهده شده که نشان میدهد همه حملات باجافزاری لزوماً به بازیابی دادهها منتهی نمیشوند.
جمعبندی:
این رخداد نشان میدهد که باجافزار VECT 2.0 عملاً عملکردی مشابه ابزارهای پاککننده داده دارد و قربانیان حتی با پرداخت باج نیز نمیتوانند اطلاعات خود را بازیابی کنند. این موضوع اهمیت داشتن نسخههای پشتیبان امن و مستقل را بیش از پیش برجسته میکند.
منبع: BleepingComputer
