Gerdab.IR | گرداب

گزارش مرکز ماهر؛

جدیدترین باج‌گیرها را بشناسید

تاریخ انتشار : ۰۱ آبان ۱۳۹۵

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام شناسایی جدیدترین بدافزارهای باج‌گیر، نسبت به سوءاستفاده از این نرم افزارهای مخرب از طریق ایمیل و صفحات وب به کاربران هشدار داد.

به گزارش گرداب؛ در سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها، که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از روش‌های مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سوءاستفاده کنند.

باج‌افزارها گونه‌ای از بدافزارها (نرم افزارهای مخرب) به شمار می‌آیند که قادرند به روش‌های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند.

سیر رشد باج‌افزارها در سال‌ اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش می‌شود.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در گزارشی آخرین رویدادهای اعلام شده در حوزه باج افزارهای رایانه ای را طی ماه اخیر اعلام کرده است و جدیدترین باج افزارها را برای آگاهی کاربران معرفی کرده است.

۱-باج افزار FenixLocker

باج افزار جدید FenixLocker به تازگی شناسایی شده است. این باج افزار فایلهای قربانی را با استفاده از الگوریتم AES رمز کرده و عبارت .centrumfr@india.com!! را در انتهای فایل های رمز شده قرار می دهد. در هر فایل رمز شده یادداشت FenixILoveyou!! قرار داده شده است.

۲-باج افزار HDDCryptor

باج افزار HDDCryptor که با نام Mamba نیز شناخته شده است، گونه جدیدی از باج‌افزارها به حساب می آید که MBR بخش بوت را بازنویسی کرده و کاربران را قفل می کند.

۳-نسخه جدید باج افزار Fantom

نسخه جدیدی از باج‌افزار Fantom به تازگی شناسایی شده که در آن ویژگی های جالبی به باج افزار قبلی، افزوده شده است. از جمله این ویژگی‌ها می‌توان به استخراج اطلاعات و رمزنگاری شبکه به اشتراک گذاشته شده، تولید تصویر پس زمینه تصادفی و رمزنگاری آفلاین اشاره کرد. علاوه بر این به نظر می رسد مقدار باج درخواستی و ایمیل مربوط به ارتباط با مهاجم نیز بسته به نام فایل، برای هر قربانی متفاوت است.

۴-تغییر در باج‌افزار Locky

باج افزار Locky علاوه بر اجرا در حالت آفلاین، مجددا امکان برقراری ارتباط با کارگزار کنترل و فرمان را نیز به خود اضافه کرده است. اجرا به صورت آفلاین دارای مزایا و معایب متعددی است، از جمله آنکه در صورت کار به صورت آفلاین، شبکه Locky از دید مراجع قانونی و تحلیلگران مخفی خواهد ماند. اما از طرفی در صورت عدم ارتباط قربانی با کارگزار کنترل و فرمان نمی‌توان تخمینی از تعداد قربانیان و وسعت آلودگی داشت.

در نسخه جدیدی که از باج‌افزار Locky شناسایی شده، پسوند فایل های رمز شده از ZEPTO به .ODIN تغییر یافته است. البته فایل های رمز شده با این باج‌افزار نباید با فایل های رمز شده توسط باج افزار  Odin اشتباه گرفته شود.

۵-باج افزارCyber SpLiTTer Vbs  

محققان به تازگی باج‌افزاری به نام Vbs SpLiTTer Cyber را شناسایی کرده‌اند که به نظر می‌رسد در حال توسعه باشد چرا که تاکنون هیچ عملکرد مربوط به رمزنگاری در آن مشاهده نشده است.

۶-باج‌افزار UnblockUPC

باج‌افزار UnblockUPC باج‌افزار جدیدی است که پس از آلودگی، یادداشت باجی با نام txt.encrypted ایجاد کرده که در آن یک شناسه یکتا برای قربانی و سایت پرداختی که قربانی باید به آن مراجعه کند، مقدار باج درخواستی توسط این باج‌افزار نیز ۰.۱۸ بیت کوین یا ۱۰۰ یورو تعیین شده است.

۷-باج‌افزار MarsJoke و انتشار ابزار رمزگشای آن

باج‌افزار MarsJoke نخستین بار در تاریخ ۱۱ مردادماه شناسایی شده و در یک مهرماه نیز توزیع گسترده آن از طریق هرزنامه مشاهده شده است. به نظر می‌رسد این باج‌افزار سازمان‌های دولتی درجه اول ایالتی و محلی و همچنین مؤسسات آموزشی آمریکایی را مورد هدف قرار داده است. آزمایشگاه امنیت کسپرسکی موفق به انتشار ابزار رمزگشای این باج‌افزار شده است. این ابزار قادر است فایل‌های رمز شده با نسخه ۱.۹.۳۰ باج‌افزار را که دارای پسوند .a۱۹ هستند، با ابزار RannohDecryptor رمزگشایی کند.

۸- باج‌افزار Nagini

یکی از باج‌افزارهایی که به‌تازگی شناسایی شده باج افزار Nagini است. در صفحه قفل این باج‌افزار، تصویری از ولدمورت که یکی از شخصیت‌های داستان هری پاتر است، نمایش داده شده است. در واقع Nagini نام مار ولدمورت در این داستان است. فایل‌های مورد هدف این باج‌افزار دارای پسوندهای .pdf. exe ، jpeg ، .jpg ، .png ، .bmp ، .xls ، .pptx ، .ppt ، .docx ، .doc  هستند. این باج‌افزار به جای استفاده از بیت کوین، از طریق وارد کردن شماره کارت اعتباری باج خود را دریافت می‌کند.

۹-باج‌افزار Help_dcfile

محققین باج‌افزار جدیدی را شناسایی کرده اند که به دلیل نام فایل یادداشت باج که help_dcfile.txt نام دارد، آن را help_dcfile نام نهاده‌اند. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند XXX است.

۱۰- باج‌افزار دونالد ترامپ

باج‌افزار دونالد ترامپ ازجمله بدافزارهایی است که در جریان انتخاباتی آمریکا ایجاد شده است. البته این باج افزار در نسخه آزمایشی خود بوده و باجی برای رمزگشایی فایل ها دریافت نمی‌کند. البته احتمال آنکه از این باج‌افزار در هرزنامه‌های انتخاباتی استفاده شود بسیار زیاد است و به همین دلیل لازم است کاربران دقت بیشتری در گشودن اینگونه ایمیل ها داشته باشند. این باج‌افزار از الگوریتم AES برای رمزنگاری فایل ها بهره برده و فایل‌های رمز شده نیز دارای پسوند .ENCRYPTED هستند.

۱۱- باج‌افزار  DXXD

این باج افزار پیش از این شناسایی شده بود و هم اکنون ابزار رمزگشای باج‌افزار DXXD منتشر شده است.

۱۲-Princess Locker

باج‌افزار جدیدی به نام Princess شناسایی شده است که فایل‌های قربانی را رمز کرده و مقدار باج ۳ بیت کوین یا ۱۸۰۰ دلار از وی درخواست کرده است. درصورتی که قربانی باج را در زمان تعیین شده پرداخت نکند، مقدار باج دو برابر شده و به ۶ بیت کوین افزایش می‌یابد.

۱۳-باج افزار AL-Namrood  و انتشار ابزار رمزگشای آن 

محققین موفق شده اند ابزار رمزگشایی برای باج افزار AL-Namrood منتشر سازند. این باج‌افزار از باج‌افزارApocalypse  مشتق شده است. مهاجمین کارگزارانی را مورد هدف قرار داده‌اند که سرویس دسترسی به دسکتاپ از راه دور روی آنها فعال است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .unavailable بوده و فایلی با نام *.Read_me.Txt به ازای هر فایل رمز شده ایجاد میشود.

۱۴-باج‌افزار TeamXrat

مجرمین برزیلی که پیش از این به دلیل مهارت بالای خود در زمینه تروجان‌های بانکی به شهرت رسیده بودند، وارد حیطه باج‌افزارها شده‌اند. باج‌افزار ساخته شده توسط این گروه Trojan -Xpan.Win۳۲.Ransomنام داشته و شرکتها و بیمارستان ها را مورد هدف قرار داده است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .___xratteamLucked هستند.

۱۵-باج‌افزار Nuke

باج‌افزارNuke  که به تازگی شناسایی شده، قادر است با استفاده از الگوریتم AES فایل‌های قربانی را رمز کرده و نام فایل را تغییر دهد. پس از پایان یافتن پروسه رمزنگاری یادداشت داده_!! RECOVERY_instructions_!!.html و _!! RECOVERY_instructions_!!.txt به قربانی نمایش داده می شود که در آن نحوه ارتباط با مهاجم و پرداخت باج شرح داده شده است. نام اصلی فایل، آدرس و دیگر اطلاعات به پایان فایل رمز شده اضافه می شود.

۱۶-انتشار ابزار رمزگشای باج‌افزار  Globe

باج افزار Globe ابزار رمزگشای خود را به روزرسانی کرده است. فایل‌های رمز شده توسط این باج‌افزار یا دارای پسوند .purge است و یا آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل قرار می‌گیرد.

به گزارش مهر، مرکز ماهر با اعلام ۱۶ مورد از باج گیرهای سایبری، از کاربران خواست: برای جلوگیری آلودگی توسط بدافزارها توصیه‌های متداولی از جمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وبسایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه نسخه پشتیبان از اطلاعات و ذخیره آن روی یک حافظه خارجی را جدی بگیرند.

این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند