کمیته رکن چهارم – یک محقق امنیتی ابزار امنیتی رایگانی ساخته که قادر است تلاش های باج افزارها (Ransomware) برای رمز کردن فایل های کاربر بر روی دستگاه های با سیستم عامل Mac را شناسایی کرده و آنها را قبل از وارد آوردن خسارت بیشتر متوقف کند.این ابزار با عنوان RansomWhere پوشه های کاربر را رصد کرده و در صورتی که در آنها به سرعت فایل های رمز شده کپی شود پروسه ایجاد کننده را شناسایی می کند.
به گزارش کمیته رکن چهارم،برای کاهش احتمال تشخیص نادرست، برنامه های رمزنگاری امضاء شده توسط Apple که بسیاری از آنها بر روی سیستم در زمان نصب RansomWhere موجود هستند استثناء شده اند.
زمانی که RansomWhere یک پروسه رمزنگاری مشکوک را شناسایی می کند با نمایش پیامی مشابه شکل زیر از کاربر در خصوص متوقف کردن یا اجازه ادامه کار دادن پروسه کسب تکلیف می کند.
با این حال به RansomWhere ایراداتی نیز وارد است. اول اینکه تنها ابزاری برای “پیشگیری” از رمز شدن فایل ها توسط باج افزارها محسوب می شود و توانایی پاکسازی دستگاه های آلوده شده به این نوع بدافزارها را ندارد. همچنین اگر باج افزار فرآیند رمزنگاری را از طریق در کنترل گرفتن یکی از پروسه های امضا شده Apple انجام دهد این ابزار قادر به متوقف کردن آن نخواهد بود.
همچنین مکانیزم این ابزار شناسایی باج افزار پس از رمزنگاری تعدادی فایل است. بنابراین با اتکا به این ابزار در مواجهه با باج افزارها حداقل تعدادی از فایل ها به صورت رمز شده در خواهند آمد.
از سویی دیگر فرآیند رصد کردن این ابزار محدود به پوشه home کاربران است. در نتیجه اگر باج افزار، رمزنگاری را از پوشه هایی دیگر آغاز کند این ابزار در برابر شناسایی بموقع آن ناتوان خواهد بود.
هر چند که در طی این سال تمرکز باج گیران سایبری دستگاه های با سیستم عامل Windows بوده اما در ماه های اخیر نمونه و نشانه هایی از انتشار باج افزارهای تحت سیستم های عامل Linux و Mac نیز گزارش شده است.
انتظار می رود موفقیت چشمگیر باج افزارها دامنه اهداف نویسندگان این نوع بدافزارها را گسترش دهد و بی شک کاربران Mac که از اهداف جذاب برای این تبهکاران خواهند بود.
منبع:رسانه خبری امنیت اطلاعات