کمیته رکن چهارمر – به تازگی انگلیسیزبانان و روسیزبانان مورد حمله یک تروجان باجافزار به نام Ded Cryptor شدند. این باجافزار حریص خواستار حدود ۲ بیت کوین(معادل ۱.۳۰۰$( به عنوان باج شد. متاسفانه هیچ راهکار رمزگشایی که قابل دسترس برای بازگرداندن فایلهای گروگان گرفته توسط Ded Cryptor باشد، وجود نداشت.
به گزارش کمیته رکن چهارم،هنگامی که یک کامپیوتر با Ded Cryptor آلوده شد، نرمافزار مخرب تصویر زمینه سیستم یا همان والپیپر سیستم را به یک عکس ترسناک بابانوئل همانند تصویر زیر تغییر میدهد. یک تصویر ترسناک و تقاضای باج، چیزی شبیه بقیه باجافزارها، درست است؟ اما Ded Cryptor یک داستان واقعا جالب دارد که دلهرهآور است.
این باجافزار در اختیار همه است!
آغاز ماجرا توسط یک محقق امنیتی از ترکیه بنام Utku Sen بود که بخشی از یک باجافزار را ساخت و سورس کد آن را در محیط آنلاین منتشر ساخت. هرکسی میتواند آن را از GitHub دانلود کند، GitHub وبسایتیست که توسعهدهندگان برای همکاری در پروژهها استفاده میکنند. (البته این سورس کد بعدها پاک شد، در ادامه دلیل آن را میخوانیم).
ساخت یک سورس کد آزاد که در دسترس مجرمانی باشد که بدون شک از این کد برای cryptorهای خود استفاده خواهند کرد(که همینطور هم شد)، یک ایده انقلابی بود. با این حال Sen که یک هکر کلاه سفید است، احساس کرد که هر متخصص امنیت سایبری باید درکی از طرز تفکر مجرمان سایبری و چگونگی کد زدن آنها داشته باشد. او معتقد بود روش غیر معمولش به اشخاص خوب برای مخالفت با اشخاص بد کمک خواهد کرد.
در پروژه اخیر که پروژه باجافزار اشک پنهان نام داشت، بخشی از آزمایش Sen بود. از همان ابتدا مقصود Sen برای آموزش و پژوهش بود. با گذشت زمان او نوعی از باجافزار را توسعه داد که به صورت آفلاین کار میکرد و پس از آن EDA2 مدلی قویتر آن را توسعه داد.
EDA2 رمزگزاری نامتقارن بهتری نسبت به باج افزار اشک پنهان داشت. این باج افزار می توانست با یک دستور و کنترل سرور، ارتباط برقرار کند و رمزگزاری کلید را به آنجا انتقال دهد و یک عکس ترسناک را به قربانی نشان دهد.
EDA۲ هم در GitHub منتشر شد. که تعداد زیادی توجه و انتقاد را برای Sen به ارمغان آورده است. با این کد منبع آزاد در دسترس، مجرمان سایبری که تا به حال به منبع کد درستی دسترسی نداشتهاند میتوانند از کد منبع آزاد باجافزار Sen برای بدست آوردن پولهای مردم استفاده کنند. آیا Sen این موضوع را نمیدانست؟
چرا Sen به این موضوع آگاه بود و به همین خاطر برای باجافزارش backdoor در نظر گرفته بود که به او این امکان را میداد تا کلید رمزگشایی را پس بگیرید. این بدان معنی است که اگر Sen متوجه میشد که شخصی از باجافزارش برای اهداف منفی استفاده میکند، این امکان برایش وجود داشت که URL سرور کنترل را به منظور دستیابی به کلیدها بدست آورد و آنها را به قربانیان بدهد. مشکلی در این جا وجود داشت که برای فایلهای رمزگزاری شده آنها، قربانیان باید در مورد هکر کلاه سفید مطمئن میشدند و از او درخواست کلید میکردند و اکثریت قربانیان هرگز نام Utku Sen را نشنیده بودند.
کسی که باجافزار را ساخته باید باج بپردازد
البته رمزگزارهایی که از اشک پنهان و سورس کد EDA2 ایجاد شده اند مدت زیادی نیست که آمدهاند. Sen با تعداد زیادی از باجافزارهای موفق و غیر موفق سر و کار داشته است: او کلید را منتشر کرد و منتظر ماند تا قربانیان آن را پیدا کنند. اما در مورد رمزگزارهایی که از سورس کد EDA2 ایجاد شدهاند همه چیز به خوبی پیش نرفت.
Magic باجافزاری است که متکی بر EDA2 بود و درست مانند نسخه اورجینال به نظر می رسید. هنگامی که Sen از وجود این باج افزار باخبر شد، تلاش کرد تا کلید رمزگشایی مانند قبل بیابد (از طریق backdoor)، اما هیچ راهی برای آن وجود نداشت. مجرمان سایبری با استفاده از Magic یک هاست رایگان برای فرمان و کنترل سرور انتخاب کرده بودند. زمانیکه ارائهدهندگان خدمات هاست با توجه به فعالیتهای مخرب شکایتی دریافت میکردند، تمام حسابهای کاربری مجرمان و تمام فایلهایشان پاک می شدند. هیچ شانسی برای گرفتن کلید رمزنگاری وجود نداشت.
داستان به اینجا ختم نمیشود. سازندگان Magic به Utku Sen رسیدند و مکالمات آنها به بحثی طولانی و عمومی بسط داده شد. آنها با ارائه پیشنهاد انتشار کلید رمزگشایی به شرط آنکه Sen سورس کد را از دسترس عموم پاک کند و همچنین ۳ بیت کوین پرداخت نماید شروع کردند. در آن زمان، هر دو طرف به ترک باج توافق کردند.
این مذاکرات به داستان جالبی ختم شد: آنها زمانی که متوجه شدند یک مرد تمام تصاویر نوزاد پسر خود را از دست داده است کلید رمزگشایی را منتشر ساختند.
در آخر، Sen،EDA2 و کد منبع اشک پنهان را از GitHub حذف کرد، اما برای این کار خیلی دیر شده بود. تعداد زیادی از مردم آن را دانلود کرده بودند. در ۲ فوریه ۲۰۱۶، کارشناس کسپرسکی Jornt van der Wiel در گزارش خود در مقاله SecureList نوشته بود که ۲۴ رمزگزار برپایه اشک پنهان و EDA2 وجود داشت. از آن زمان آن رقم افزایش یافته است.
Ded Cryptor چگونه پدیدار شد؟
Ded Cryptor یکی از زادگان آنها است که از سورس کد EDA2 استفاده میکند. اما کنترل سرور آن برای امنیت بیشتر آن با هاستی در Torاست. این باجافزار از طریق سرویسی که روی tor2web می باشد ارتباط برقرار میکند. و اجازه میدهد برنامهها بدون استفاده از بروزر Tor، از این سرویس استفاده کنند.
Ded Cryptor از تکههای مختلف کدهای بازِ منتشر شده در GitHub ایجاد شده بود که آن را با هیولای فرانکنشتاین به یاد میآورند. سازندگان، سورس کد پروکسی سرور را از یکی دیگر از توسعهدهندگان GitHub قرض می گرفتند و کد درخواست ارسال نیز در ابتدا توسط یک شخص دیگر نوشته شده بود. یکی از جنبههای غیر معمول این نوع باجافزار این است که درخواستها را به طور مستقیم به سرور ارسال نمیکند. به جای آن، یک سرور پروکسی بر روی کامپیوتر آلوده نصب و از آن استفاده میکند.
تا آنجا که ما میدانیم، توسعهدهندگان Ded Cryptor روسیزبان هستند. البته توجه داشته باشید که اولا درخواست باج به زبان روسی و انگلیسی نوشته میشود. دوما تحلیلگر ارشد باجافزار لابراتوار کسپرسکی Fedor Sinitsyn کد باجافزار را آنالیز کرد و مسیر فایل را پیدا کرد: C:\Users\sergey\Desktop\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb (به هر حال باجافزار Magic توسط مردم روسیزبان توسعه داده شده است).
متاسفانه، شناخت کمی در مورد DedCryptor گسترش یافته است. با توجه به شبکه امنیت کسپرسکی، فعالیت EDA2 در روسیه و بعد از آن چین، آلمان، ویتنام و هند همچنان وجود دارد.
باعث تاسف است که هیچ راه دسترسی برای رمزگشایی فایلهای معیوبی که توسط Ded Cryptor رمزگزاری میشوند، وجود ندارد. قربانیان برای بازیابی اطلاعات خود میتوانند از ۱ shadow copies سیستم عامل خود استفاده کنند. البته همیشه پیشگیری بهتر از درمان است.
کسپرسکی اینترنت سکیوریتی تمام تروجان ها را بر اساس اشک پنهان و EDA۲ تشخیص می دهد و هنگامی که کاربر با آن برخورد داشته باشد هشداری با عنوان Trojan-Ransom.MSIL.Tear می دهد. همچنین این محافظ عملیات تروجان را متوقف کرده و به آن ها اجازه نمی دهد که فایل های شما را رمزگزاری کند.
کسپرسکیتوتالسکیوریتی به طور اتوماتیک از فایلهای شما بکآپ میگیرد که میتواند در تمام موارد مفید عمل کند و از آلودگی باجافزار و مرگ ناگهانی هارددیسک جلوگیری کند.
۱. Shadow copy یا همان volume snapshot service تکنولوژی مبتنی بر ویندوزهای مایکروسافت بوده که یک کپی لحظهای از فایلهایی که با آنها کار میکنیم گرفته میشود و کاربردش در مواقعی است که فایلهای مورد نظرمان پاک شدهاند.
منبع: کسپرسکیآنلاین