کسپرسکی پرچم دار مبارزه با باج افزارها

کسپرسکی پرچم دار مبارزه با باج افزارها

گردآوری و ترجمه: واحد امنیت شبکه ICTN

منبع: blog.kaspersky.com و  nomoreransom.org

در سال ۲۰۱۵ کسپرسکی با همکاری پلیس هلند اقدام به راه اندازی وبسایت NoRansom نمود، هدف از راه اندازی این وبسایت کمک به قربانیان باج افزار CoinVault برای دسترسی دوباره به اطلاعاتشان بود. پس از آن با توسعه این وبسایت کسپرسکی اقدام به ارائه تعدادی از ابزارهای بازگرداندن فایل های رمزنگاری شده با دیگر باج افزارها نظیر TeslaCrypt، CryptXXX و نظایر آن نمود.

در جولای سال ۲۰۱۶ کسپرسکی قدم بزرگی در راه مبارزه با باج افزارها برداشت. کسپرسکی با همکاری پلیس هلند، پلیس اروپا و بخش امنیت اینتل(مالک McAfee) اقدام به ایجاد وبسایت NoMoreRansom.org برای جمع آوری و ارائه بزرگترین مجموعه از ابزارهای رمزگشای باج افزارها نموده است و برای شروع علاوه بر ابزارهای گذشته، یک ابزار جدید برای مقابله و رفع مخاطرات ایجاد شده توسط باج افزار Shade را ارائه نموده است که مانند ابزارهای گذشته رایگان است.

Shade چیست؟

باج افزار Shade یکی از انواع خانواده باج افزارهای رمزنگاری کننده است که برای اولین بار در اوایل سال ۲۰۱۵ دیده شد. بدافزارهای Shade از هرزنامه های آلوده[۱] و یا بسته های نفوذی[۲] (مجموعه ای از بدافزارها شامل داده ها و کدهای اجرایی مخرب هستند که از آسیب پذیری های نرم افزارها برای نفوذ بهره می برند) به عنوان روش های اولیه حمله بهره می برند. این روش ها بسیار خطرناکتر از روش های قبلی هستند، زیرا دیگر نیازی نیست قربانی اقدام به باز نمودن فایلی نماید، تنها کافی است یک وبسایت آلوده را مورد مشاهده قرار دهد.

وقتی باج افزار به سیستم قربانی نفوذ می کند، بدافزار Shade اقدام به درخواست یک کلید رمزنگاری از سرور دستور و کنترل[۳] خود نموده و یا در صورت عدم امکان ارتباط با سرور از یکی از کلیدهایی از پیش در تعبیه شده در خود را برای رمزنگاری اطلاعات استفاده می کند. این بدین معنی است که حتی اگر کامپیوتر قربانی به اینترنت متصل نباشد، عملکرد باج افزار بر روی سیستم قربانی کامل خواهد شد.

این بدافزار قادر است بیش از ۱۵۰ نوع فایل شامل فایل های آفیس، تصاویر و بایگانی ها[۴] را رمزنگاری کند. پس از رمزنگاری فایل های قربانی به پسوند .xtbl و یا .ytbl تغییر نام داده می شوند. وقتی فرایند رمزنگاری به پایان برسد، یک متن باج گیری مانند شکل زیر برای قربانی به نمایش در می آید.

درادامه به نظر می رسد رمزنگاری فایل ها به اندازه کافی مخرب به نظر نمی رسد، بنابراین باج افزار اقدام به وحشی گرهای بیشتری می کند و درحالی که قربانی وحشت زده در حال جستجو برای یافتن رمزگشا و یا پول برای باجگیری است، باج افزار مشغول بارگیری بدافزارهای دیگر و اجرای آنها بر روی کامپیوتر قربانی است.

چگونه خود را از شر باج افزار  خلاص کنیم؟

اگر شما یکی از قربانیان بد اقبال باج افزار Shade و یا یکی دیگر از انواع باج افزارها هستید، خبر خوب برای شما این است که وبسایت  NoMoreRansom.org می تواند شما را از وسوسه پرداخت پول برای دریافت کلید رمزگشایی بازگرداندن فایل ها، رها سازد. به آدرس www.nomoreransom.org مراجعه و با توجه به نوع باج افزاری که قربانی آن هستید، اقدام به دانلود ابزار رمزگشای مورد نظر (مانند ShadeDecryptor.exe) نموده و با اجرای آن و اسکن دستگاه خود، از شر باج افزار مورد نظر و مخاطرات ایجاد شده توسط آن خلاص شوید.

از آنجایی که پیشگیری و جلوگیری از مواجهه با تهدیدات همواره بسیار آسانتر از مقابله و مبارزه با آنها در هنگام آلوده شدن سیستم به آنها است، علاوه بر جمع آوری و تولید ابزارهای رمزگشایی، یکی از اهداف اصلی پروژه ایجاد وبسایت NoMoreRansom.org آموزش کاربران در زمینه نحوه عملکرد باج افزارها و اقدامات متقابلی است که می توان در زمینه جلوگیری از آلودگی سیستم ها انجام داد و در این راه کسپرسکی برای رسیدن به نتایج بهتر و کاراتر کلیه نهادهای عمومی و خصوصی دعوت به همکاری می نماید.

[۱] malicious spam

[۲] exploit kits

[۳] command-and-control (C&C)

[۴] archives