امنیت

فناوری اطلاعات

October 22, 2016
13:18 شنبه، 1ام آبانماه 1395
کد خبر: 80716

مرکز ماهر اعلام کرد؛ جدیدترین نرم افزارهای باج‌گیر را بشناسید/ نفوذ به ایمیل کاربران

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام شناسایی جدیدترین بدافزارهای باج‌گیر، نسبت به سوءاستفاده از این نرم افزارهای مخرب از طریق ایمیل و صفحات وب به کاربران هشدار داد.
 
در سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها، که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از روش‌های مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سوءاستفاده کنند.
 
باج‌افزارها گونه‌ای از بدافزارها (نرم افزارهای مخرب) به شمار می‌آیند که قادرند به روش‌های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند.
 
سیر رشد باج‌افزارها در سال‌ اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش می‌شود.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در گزارشی آخرین رویدادهای اعلام شده در حوزه باج افزارهای رایانه ای را طی ماه اخیر اعلام کرده است و جدیدترین باج افزارها را برای آگاهی کاربران معرفی کرده است.
 
۱-باج افزار FenixLocker
 
باج افزار جدید FenixLocker به تازگی شناسایی شده است. این باج افزار فایلهای قربانی را با استفاده از الگوریتم AES رمز کرده و عبارت .centrumfr@india.com!! را در انتهای فایل های رمز شده قرار می دهد. در هر فایل رمز شده یادداشت FenixILoveyou!! قرار داده شده است.
 
۲-باج افزار HDDCryptor
 
باج افزار HDDCryptor که با نام Mamba نیز شناخته شده است، گونه جدیدی از باج‌افزارها به حساب می آید که MBR بخش بوت را بازنویسی کرده و کاربران را قفل می کند.
 
۳-نسخه جدید باج افزار Fantom
 
نسخه جدیدی از باج‌افزار Fantom به تازگی شناسایی شده که در آن ویژگی های جالبی به باج افزار قبلی، افزوده شده است. از جمله این ویژگی‌ها می‌توان به استخراج اطلاعات و رمزنگاری شبکه به اشتراک گذاشته شده، تولید تصویر پس زمینه تصادفی و رمزنگاری آفلاین اشاره کرد. علاوه بر این به نظر می رسد مقدار باج درخواستی و ایمیل مربوط به ارتباط با مهاجم نیز بسته به نام فایل، برای هر قربانی متفاوت است.
 
۴-تغییر در باج‌افزار Locky
 
باج افزار Locky علاوه بر اجرا در حالت آفلاین، مجددا امکان برقراری ارتباط با کارگزار کنترل و فرمان را نیز به خود اضافه کرده است. اجرا به صورت آفلاین دارای مزایا و معایب متعددی است، از جمله آنکه در صورت کار به صورت آفلاین، شبکه Locky از دید مراجع قانونی و تحلیلگران مخفی خواهد ماند. اما از طرفی در صورت عدم ارتباط قربانی با کارگزار کنترل و فرمان نمی‌توان تخمینی از تعداد قربانیان و وسعت آلودگی داشت.
 
در نسخه جدیدی که از باج‌افزار Locky شناسایی شده، پسوند فایل های رمز شده از ZEPTO به .ODIN تغییر یافته است. البته فایل های رمز شده با این باج‌افزار نباید با فایل های رمز شده توسط باج افزار  Odin اشتباه گرفته شود.
 
۵-باج افزارCyber SpLiTTer Vbs  
 
محققان به تازگی باج‌افزاری به نام Vbs SpLiTTer Cyber را شناسایی کرده‌اند که به نظر می‌رسد در حال توسعه باشد چرا که تاکنون هیچ عملکرد مربوط به رمزنگاری در آن مشاهده نشده است.
 
۶-باج‌افزار UnblockUPC
 
باج‌افزار UnblockUPC باج‌افزار جدیدی است که پس از آلودگی، یادداشت باجی با نام txt.encrypted ایجاد کرده که در آن یک شناسه یکتا برای قربانی و سایت پرداختی که قربانی باید به آن مراجعه کند، مقدار باج درخواستی توسط این باج‌افزار نیز ۰.۱۸ بیت کوین یا ۱۰۰ یورو تعیین شده است.
 
۷-باج‌افزار MarsJoke و انتشار ابزار رمزگشای آن
 
باج‌افزار MarsJoke نخستین بار در تاریخ ۱۱ مردادماه شناسایی شده و در یک مهرماه نیز توزیع گسترده آن از طریق هرزنامه مشاهده شده است. به نظر می‌رسد این باج‌افزار سازمان‌های دولتی درجه اول ایالتی و محلی و همچنین مؤسسات آموزشی آمریکایی را مورد هدف قرار داده است. آزمایشگاه امنیت کسپرسکی موفق به انتشار ابزار رمزگشای این باج‌افزار شده است. این ابزار قادر است فایل‌های رمز شده با نسخه ۱.۹.۳۰ باج‌افزار را که دارای پسوند .a۱۹ هستند، با ابزار RannohDecryptor رمزگشایی کند.
 
۸- باج‌افزار Nagini
 
یکی از باج‌افزارهایی که به‌تازگی شناسایی شده باج افزار Nagini است. در صفحه قفل این باج‌افزار، تصویری از ولدمورت که یکی از شخصیت‌های داستان هری پاتر است، نمایش داده شده است. در واقع Nagini نام مار ولدمورت در این داستان است. فایل‌های مورد هدف این باج‌افزار دارای پسوندهای .pdf. exe ، jpeg ، .jpg ، .png ، .bmp ، .xls ، .pptx ، .ppt ، .docx ، .doc  هستند. این باج‌افزار به جای استفاده از بیت کوین، از طریق وارد کردن شماره کارت اعتباری باج خود را دریافت می‌کند.
 
۹-باج‌افزار Help_dcfile
 
محققین باج‌افزار جدیدی را شناسایی کرده اند که به دلیل نام فایل یادداشت باج که help_dcfile.txt نام دارد، آن را help_dcfile نام نهاده‌اند. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند XXX است.
 
۱۰- باج‌افزار دونالد ترامپ
 
باج‌افزار دونالد ترامپ ازجمله بدافزارهایی است که در جریان انتخاباتی آمریکا ایجاد شده است. البته این باج افزار در نسخه آزمایشی خود بوده و باجی برای رمزگشایی فایل ها دریافت نمی‌کند. البته احتمال آنکه از این باج‌افزار در هرزنامه‌های انتخاباتی استفاده شود بسیار زیاد است و به همین دلیل لازم است کاربران دقت بیشتری در گشودن اینگونه ایمیل ها داشته باشند. این باج‌افزار از الگوریتم AES برای رمزنگاری فایل ها بهره برده و فایل‌های رمز شده نیز دارای پسوند .ENCRYPTED هستند.
 
۱۱- باج‌افزار  DXXD
 
این باج افزار پیش از این شناسایی شده بود و هم اکنون ابزار رمزگشای باج‌افزار DXXD منتشر شده است.
 
۱۲-Princess Locker
 
باج‌افزار جدیدی به نام Princess شناسایی شده است که فایل‌های قربانی را رمز کرده و مقدار باج ۳ بیت کوین یا ۱۸۰۰ دلار از وی درخواست کرده است. درصورتی که قربانی باج را در زمان تعیین شده پرداخت نکند، مقدار باج دو برابر شده و به ۶ بیت کوین افزایش می‌یابد.
 
۱۳-باج افزار AL-Namrood  و انتشار ابزار رمزگشای آن 
 
محققین موفق شده اند ابزار رمزگشایی برای باج افزار AL-Namrood منتشر سازند. این باج‌افزار از باج‌افزارApocalypse  مشتق شده است. مهاجمین کارگزارانی را مورد هدف قرار داده‌اند که سرویس دسترسی به دسکتاپ از راه دور روی آنها فعال است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .unavailable بوده و فایلی با نام *.Read_me.Txt به ازای هر فایل رمز شده ایجاد می‌شود.
 
۱۴-باج‌افزار TeamXrat
 
مجرمین برزیلی که پیش از این به دلیل مهارت بالای خود در زمینه تروجان‌های بانکی به شهرت رسیده بودند، وارد حیطه باج‌افزارها شده‌اند. باج‌افزار ساخته شده توسط این گروه Trojan -Xpan.Win۳۲.Ransomنام داشته و شرکت‌ها و بیمارستان ها را مورد هدف قرار داده است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .___xratteamLucked هستند.
 
۱۵-باج‌افزار Nuke
 
باج‌افزارNuke  که به تازگی شناسایی شده، قادر است با استفاده از الگوریتم AES فایل‌های قربانی را رمز کرده و نام فایل را تغییر دهد. پس از پایان یافتن پروسه رمزنگاری یادداشت داده_!! RECOVERY_instructions_!!.html و _!! RECOVERY_instructions_!!.txt به قربانی نمایش داده می شود که در آن نحوه ارتباط با مهاجم و پرداخت باج شرح داده شده است. نام اصلی فایل، آدرس و دیگر اطلاعات به پایان فایل رمز شده اضافه می شود.
 
۱۶-انتشار ابزار رمزگشای باج‌افزار  Globe
 
باج افزار Globe ابزار رمزگشای خود را به روزرسانی کرده است. فایل‌های رمز شده توسط این باج‌افزار یا دارای پسوند .purge است و یا آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل قرار می‌گیرد.
 
مرکز ماهر با اعلام ۱۶ مورد از باج گیرهای سایبری، از کاربران خواست: برای جلوگیری آلودگی توسط بدافزارها توصیه‌های متداولی از جمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وبسایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه نسخه پشتیبان از اطلاعات و ذخیره آن روی یک حافظه خارجی را جدی بگیرند.
 
این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.