به گزارش
گرداب، بدتر از آن، راهاندازی مجدد رایانه به قول مهاجمان موجب پاک شدن هزار پرونده خواهد شد. علاوه بر آنیک تصویر شوم «عروسی بیلی» برگرفته از فیلم ترسناک اره به همراه یک پیام هشدار ترسناک نیز توسط این بدافزار فرستاده میشود.
یادداشت این باج افزار اینگونه شروع میشود: «من میخواهم با تو بازی کنم. بگذار تا قوانین را تعیین کنم: همه پروندههای تو در حال پاک شدن هستند».
اما نمایش ترسناک Jigsaw به نظر میرسد که در این لحظه خاتمه یافته باشد.
محققان این بدافزار را تحلیل کردهاند. این افراد شامل محققانی از گروه MalwareHunterTeam و کارشناسان جرائم رایآنهای به نامهای مایکل گیلسپی و لاورنس آبرامز بودند که موفق شدند یک ابزار رمزگشایی کشف کنند که به قربانیان اجازه میداد تا پروندههای خود را بهصورت رایگان دوباره بازیابی کنند.
این پژوهشگران دستورالعملهایی را برای استفاده هرکسی که گرفتار باج افزار Jigsaw شده بود، در بلاگ امنیتی آبرامز BleepingComputer.com ارسال کردند که شامل ابزاری برای رمزگشایی پروندهها نیز میشد.
بر اساس گفتههای آبرامز، باجافزار Jigsaw از رمزگذاری AES استفاده میکند که از طول بلوک ۱۲۸ بیتی و طولهای کلید ۱۲۸ و ۱۹۲ و ۲۵۶ بیتی پشتیبانی میکند.
آبرامز در مصاحبهای گفته است: «مجرمانی که پشت این باجافزار هستند، به همان اندازه از بازی کردن با قربانیان خود لذت میبرند که از گرفتن پول آنها خوشحال میشوند»؛ اما او میگوید که مهاجمان بر سر قول خود میایستند و اگر مردم پول را پرداخت نکنند، آنها واقعاً پروندهها را از بین میبرند.
بر اساس گفته محققان، باج افزار Jigsaw به ۲۴۰ گونه پروندهی مختلف و منحصربهفرد در سامانههای آلوده حمله میکند و اسنادی را که پسوندهای FUN یا BTC دارند را رمز میکند، هنگامیکه رمزگذاری انجام شود، مجرمان شروع به شمارش معکوس ۶۰ دقیقهای میکنند. اگر پرداخت در ظرف این مدت انجام نشود، Jigsaw یک پرونده را پاک میکند. در ساعت بعدی دو پرونده پاک میشود؛ و هر ساعتی که میگذرد تعداد پروندههای که پاک میشود بهصورت تصاعدی افزایش مییابد.
و تنها به خاطر اینکه محققان راهی پیداکردهاند که با استفاده از آن بر نویسندگان این باج افزار پیشی بگیرند، به این معنا نیست که باج افزار Jigsaw نیش خود را ازدستداده است. آبرامز میگوید: «قربانی متوسط Jigsaw نمیداند که از کجا باید بیتکوین تهیه کند. این روند دستوپا گیر است و میتواند چند روزبه طول بکشند تا راه آن را پیدا کند؛ و تا آن موقع ممکن است دهها هزار پرونده پاکشده باشند».
قربانیان Jigsaw میتوانند برای جلوگیری از پاک شدن پروندهها به Windows Task Manager مراجعه کرده و روال firefox.exe را به همراه روالهای drpbx.exe ببندند.
به گفته این محققان، مشخص نیست که تاکنون چه میزان از سامانهها بهوسیله این باج افزار آلودهشدهاند. به گفته آبرامز یک مشکل این است که برخی از مردمفریب میخورند تا باجافزار Jigsaw را از طریق یک پروندهی نصب جعلی مرورگر فایرفاکس بارگیری کنند.
پیشدستی بر مجرمان باجافزار معمول نیست؛ اما در اوایل هفته محققان گفتهاند که آنها قادر بودهاند تا باج افزار Petya را بشکنند و یک ابزار رمزگشایی بنویسند که به قربانیان اجازه میدهد تا کلیدهایی ایجاد کرده و پروندههای خود را در ظرف ده ثانیه رمزگشایی کنند.
آبرامز میگوید: «باج افزارها بهشدت فراگیر شدهاند و به همین دلیل است که نویسندگان باج افزارها بهسرعت کدهای برنامههای خود را مینویسند و این کار موجب میشود تا متخصصان امنیتی بتوانند آسانتر قفل آنان را بشکنند».
او اضافه میکند: «من تعجب نمیکنم اگر ما بهزودی انواعی از باج افزارهای Petya و یا Jigsaw را ببینیم که موتور رمزگذاری خود را جایگزین کرده و تبدیل به چیزی شده باشند که بهسختی قابل شکستن است».
آبرامز میگوید که منتظر دنبالههای باج افزار Jigsaw باشید!
منبع: news.asis.io