کمیته رکن چهارم – باجافزارها گونهای از بدافزارها به شمار میآیند که قادرند به طرق مختلفی ازجمله رمزنگاری، دسترسی قربانی به فایلها یا کل سیستم را محدود کرده و تنها در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باجافزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه پیش میآید.
به گزارش کمیته رکن چهارم،در گزارش ارائهشده اطلاعاتی راجع به باجافزار جدیدی مانند Herbst، نسخههای جدید باجافزارهای Crysis، Nemucod و کشف ۷ گونه جدید از باجافزار Jigsaw وانتشار ابزار رمزگشایی برای باجافزارهای cripttt، TeslaCrypt و jigsaw منتشر شده است.
۱- باجافزار Herbst
در ۱۵ خردادماه، شرکت Fortinet باجافزار جدیدی را کشف کرده که نام آن را Herbst گذاشته است]۲[. این باجافزار آلمان را مورد هدف قرار داده است و فایلهای قربانیان را با استفاده از AES رمزنگاری کرده است. فایلهای رمزشده توسط این باجافزار دارای پسوند .herbst است. باج درخواستی توسط این باجافزار ۰٫۱ بیت کوین (حدود ۵۰ دلار آمریکا) است. نمایی از یادداشت بهجا گذاشته شده توسط باجافزار در شکل ۱ نمایش داده شده است.
شکل ۱ یادداشت مربوط به باجافزار Herbst
۲- انتشار ابزار رمزگشایی باجافزار روسی .criptikod یا cripttt
در ۱۶ خرداد ماه، فردی به نام مایکل گیلسپی[۱] خبر مربوط به کشف ابزار رمزگشایی برای باجافزار روسی.criptikod یا cripttt را در حساب توییتر خود اطلاع رسانی کرده است]۳[. این باجافزار به زبان روسی بوده و این کشور را مورد هدف قرار داده است. ابزار منتشر شده در آدرس http://virusinfo.info/showthread.php?t=185396 قرار داده شده است.
۳- کشف نسخههای جدید باجافزار Jigsaw
در ۱۷ خرداد ماه گونههای جدیدی از باجافزار Jigsaw مشاهده شده است که برای فایلهای رمزشده خود پسوند .payms، .paymst، .pays، .paym، .paymrss، .payrms و .paymts قرار دادهاند. آقای مایکل گیلسپی رمزگشای این باجافزار را برای رمزگشایی این فایلها، بهروزرسانی کرده است که میتوان آن را از آدرس http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/ دریافت کرد]۴[.
۴- کشف نسخهی جدید باجافزار Crysis
در ۱۷ خرداد ماه نسخهی جدیدی از باجافزار Crysis کشف شده است که فایلها را رمز کرده و به فایلهای رمزشده پسوند .centurion_legion@aol.com.xtbl اضافه میکند. پس از آن باجافزار یادداشتی قرار میدهد که بر اساس آن قربانی باید برای دریافت دستورات مربوط به پرداخت باج، به آدرس mailrepa.lotos@aol.com یا goldman0@india.com ایمیل زند. نمونهای از این یادداشت در شکل ۲ نمایش داده شده است.
شکل ۲ یادداشت قرار داده شده توسط باجافزار Crysis
یک روز پس از کشف این نسخهی جدید، در ۱۸ خردادماه ESET درباره رشد و گسترش گستردهی خانواده این باجافزار هشدار داد. به نظر میرسد پس از پایان یافتن پروژه باجافزار TeslaCrypt، تیم مهاجمین روی باجافزار Crysis تمرکز کرده است. بر اساس یافتههای ESET، این باجافزار از طریق هرزنامههای حاوی فایلهای مخرب و یا تروجانهایی که به نظر برنامههای مفیدی میآیند، منتشر میشود.
۵- کشف گونهی جدید باجافزار Nemucod
در ۲۰ خردادماه گونهی جدیدی از باجافزار Nemucod کشف شده که قادر است PHP را دانلود کرده و با استفاده از آن فایلهای قربانی را رمز کند و در پایان فایلهای رمزشده پسوند .crypted قرار دهد. ابزار رمزگشایی اینگونه جدید نیز در حساب توییتر آقای فابین وسار[۲]منتشر شده است که میتوان آن را از آدرس http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/ دریافت کرد]۵[.
۶- انتشار ابزار جامع رمزگشایی TeslaCrypt
پس از آنکه پروژه مربوط به باجافزار TeslaCrypt متوقف و کلید رمزگشایی آن منتشر شد، قربانیان قادر بودند فایلهای رمز شده توسط نسخهی ۳ و ۴ این باجافزار را رمزگشایی کنند. البته برای رمزگشایی فایلهای رمزشده توسط نسخههای قدیمیتر این باجافزار نیز ابزارهای دیگری مانند TeslaDecoder وجود دارد]۶[. حال تیم تحقیقاتی سیسکو ابزار جدیدی ارائه داده است که با استفاده از آن قربانیان میتوانند فایلهای رمزشده توسط هر یک از نسخ این باجافزار را رمزگشایی کنند. استفاده از این ابزار برای کسانی که نمیدانند توسط کدام نسخه از باجافزار TeslaCrypt آلوده شدهاند، میتواند بسیار مفید باشد]۷[.
۷- جمعبندی
در طی سالهای اخیر مهاجمان زیادی به سمت گونهای از بدافزارها، که باجافزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد میکنند. آنها سعی میکنند از غفلت و سهلانگاری کاربران بهره برده و از طرق مختلفی مانند ایمیلها، صفحات وب و پیامهای آلوده، از افراد سواستفاده کنند. برای جلوگیری از آلودگی توسط بدافزارها توصیههای متداولی ازجمله عدم باز کردن ایمیلهای ناشناس و مشکوک، عدم مراجعه به وبسایتهای ناامن، استفاده و اطمینان از فعال بودن برنامههای ضدویروس روی سیستم و تهیهی نسخهی پشتیبان از اطلاعات و ذخیرهی آنها روی یک حافظهی خارجی، وجود دارد. این توصیهها اگرچه بسیار ساده هستند اما میتوانند از خسارات جبرانناپذیری جلوگیری کنند.
منبع:رسانه خبری امنیت اطلاعات