اخبار حملات باج‌افزارها مثل اخبار اعزام به میدان جنگ بدون توقف در حال افزایش است.

به گزارش واحد امنیت سایبربان؛ روابط عمومی شرکت (ایدکو) توزیع‌کننده محصولات کسپرسکی در ایران؛ اخبار حملات باج‌افزارها مثل اخبار اعزام به میدان جنگ بدون توقف در حال افزایش است. هرروزه محققان در پی گونه‌های جدیدی از باج‌افزارها هستند و کشفیات جدیدی دارند و راه‌های غیرمتعارفی از مجرمان را کشف می‌کنند که با استفاده از آن به‌طور مستقیم به سرقت پول از مصرف‌کنندگان می‌پردازند و به‌محض اینکه کارشناسان امنیتی متوجه شوند به دنبال برنامه‌ای برای مقابله با آن می‌گردند و مجرمان هم با باج‌افزارها و تکنیک‌های جدید از آن‌ها پیشی می‌گیرند.

به‌تازگی یکی دیگر از نمونه‌های پیچیده یک باج‌افزار کشف‌شده است که لقب این باج‌افزار Satana است و ریشه نام آن به روسیه بازمی‌گردد. این تروجان دو کار را انجام می‌دهد: فایل‌ها را رمزگذاری کرده و (مستر‌بوت‌رکورد) ویندوز (MBR) را آلوده می‌کند و درنتیجه روند بوت ویندوز مسدود می‌شود.

ما در حال حاضر در مورد باج‌افزاری صحبت می‌کنیم که MBR را آلوده می‌کند. باج‌افزار بدنام Petya هم یکی از نرم‌افزارهای این‌چنینی است. در برخی موارد Satana هم رفتاری شبیه این را دارد.

برای مثال کدهایش را به MBR تزریق می‌کند. البته فرق آن‌ها در این است که پتیا MFT را رمزگذاری می‌کند ولی Satana، MBR را رمزگذاری می‌کند. برای رمزگذاری فایل‌های کامپیوتر Petya با کمک تروجانی که Mischa نامیده شده است این کار را انجام داده اما Satana هر دوی این وظایف را به‌تنهایی مدیریت می‌کند.

ما سعی می‌کنیم برای کسانی که با عملکرد داخلی کامپیوتر آشنا نیستند بیشتر توضیح دهیم تا بهتر متوجه شوند. MBR بخشی از هارددیسک است. این بخش شامل اطلاعاتی بر روی سیستم فایل است که توسط قسمت‌های مختلف هارددیسک مورداستفاده قرار می‌گیرد که البته بخشی از سیستم‌عامل هم بر روی آن ذخیره‌شده است.

اگر MBR خراب یا رمزگذاری شود، کامپیوتر دسترسی به یک قطعه مهم را از دست می‌دهد که شامل قسمت سیستم‌عامل است. اگر کامپیوتر قادر به یافتن سیستم‌عامل نشود نمی‌تواند عملیات بوت کردن را انجام دهد.

مجرمان پشت باج‌افزارهایی مانند Satana با استفاده از این ترفند پنهان می‌شوند و کریپتولاکرهای خود را باقابلیت بوت‌لاکر افزایش می‌دهند. هکرها MBRرا مبادله کرده و آن را با کدی از باج جایگزین می‌کنند، MBR را رمزگذاری و آن را به‌جای دیگر انتقال می‌دهند.

مبلغی که باج‌خواهان بابت رمزگشایی MBR و در دسترس قرار دادن کلید برای رمزگشایی فایل‌های آلوده درخواست کردند حدود ۰.۵ بیت‌کوین بود (که تقریباً معادل ۳۴۰$ است). سازنده Satana می‌گوید: هنگامی‌که باج پرداخت شود، دسترسی به سیستم‌عامل قابل‌دسترس خواهد شد و همه‌چیز به حالت قبل بازمی‌گردد. حداقل این چیزی است که آن‌ها می‌گویند.

زمانی که Satana در سیستم است، تمام درایوها و نمونه‌های شبکه را اسکن کرده و پسنودهای زیر را جستجو می‌کند.bak, .doc .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .۷z, .cpp, .pas, and .asm و asm. و رمزگذاری را شروع کنند. همچنین یک آدرس ایمیلی با سه آندرلاین برای شروع اسم فایل خود اضافه می‌کند( به‌عنوان‌مثال:

 test.jpg می‌تواند به Sarah_G@ausi.com؛ test.jpg تبدیل شود).

این آدرس ایمیل‌ها به‌منظور اطلاعات تماس برای قربانیان ساخته می‌شود که در آن دستورالعمل پرداخت و بعدازآن برای پس گرفتن کلید رمزگشا است. محققان تابه‌حال ۶ نمونه از این نوع ایمیل آدرس‌ها که در این کمپین استفاده می‌شود را دیده‌اند.

خبر خوبی وجود دارد آن‌هم این است که می‌شود تا حدودی این قفل را دور زد: بامهارتی خاص، می‌توان MBR را ثابت نگه داشت. کارشناسان در کلوپ وبلاگ ویندوز دستورالعمل‌هایی برای ثابت نگه‌داشتن MBR با استفاده از ویژگی بازگردانی سیستم‌عامل در ویندوز ساخته‌اند. درهرصورت، این ویژگی برای کاربران باتجربه‌ای طراحی‌شده است که با این راهکار سریع بتوانند با آن به‌راحتی کار کنند که این ابزار bootrec.exe است.

اما احتمالاً این راه برای یک کاربر معمولی خوشایند نباشد و با آن احساس راحتی نکند. درعین‌حال خبر بدی هم وجود دارد که باوجوداینکه ویندوز موفق شد قفل را باز کند اما نیمی دیگر از مشکل پابرجاست و رمزگذاری فایل‌ها همچنان سرجای خودش است.

در این مرحله، به نظر می‌رسد که Satana شروع باج‌افزارهای حرفه‌‌ای را با خود به همراه داشته است. البته این باج‌افزار هنوز همه‌گیر نشده و محققان عیوبی را در کدگذاری این نوع باج‌افزار یافتند. به‌هرحال، فرصت خوبی است که راهکارهای امنیتی خود را قوی کنید زیرا همیشه پیشگیری بهتر از درمان است.

مشاوره ما برای کاربران در این خصوص تمرین روی محافظت مداوم است. توصیه‌های ساده ما به شما کمک خواهد کرد تا خطر ریسک آلودگی را کاهش دهید و تا حد امکان از خطرات این‌چنینی در امان بمانید.

۱. به‌طور مداوم از فایل‌های خود بک‌آپ بگیرید:

این راهکار برای شما همانند بیمه‌نامه است. در صورت حمله باج‌افزارها، شما می‌توانید سیستم‌عامل خود را مجدد نصب کنید و فایل‌های خود را از نسخه بک‌آپ بازیابی کنید.

۲. وب‌سایت و ایمیل‌های مشکوک را به‌هیچ‌وجه باز نکنید:

حتی اگر لینک یا ایمیلی از شخصی است که شما آن را می‌‌‌‌‌‌‌‌‌‌شناسید آن را باز نکنید. برای این کار بسیار محتاطانه عمل کنید: بهت راست کمی در مورد راه‌ها و تکنیک‌های انتشار باج‌افزار Satana بدانید.

۳. به یک آنتی‌ویروس امنیتی مطمئن اعتماد کنید.

اینترنت سکیوریتی کسپرسکی Satana را به‌عنوان Trojan-Ransom.Win32.Satan شناسایی می‌کند و مانع رمزگذاری یا قفل‌کردن سیستم شما می‌شود.

۴. خبرها را در وبلاگ کسپرسکی آنلاین دنبال کنید:

ما همیشه سعی داریم در اسرع وقت در مورد جدیدترین نوع باج‌افزارها و خطرات سایبری که شمارا تهدید می‌کنند، اطلاع‌رسانی کنیم تا آن‌ها شمارا به‌طور ناگهانی غافل‌گیر نکنند.

منبع: 

ایتنا