امنیت

فناوری اطلاعات

July 14, 2020
11:01 سه شنبه، 24ام تیرماه 1399
کد خبر: 114049

شناسایی دو باج‌افزار با هدف اخاذی از کاربران

 
 
با توجه به رشد چشمگیر در حوزه بدافزار در دنیای امروزی، باج‌افزارها نیز رشد قابل توجهی داشتند که RXX و Random Ransome دو نمونه از این باج‌افزارها هستند که با رمزگذاری داده‌ها، از کاربران درخواست وجه می‌کنند.
 
 حملات باج‌افزاری (ransomware) این روزها رایج شده است و هیچ شرکتی نیز از این حملات مصون نیست. باج‌افزار نرم‌افزاری مخرب است که سیستم قربانیان را برای اخاذی پول از آن‌ها قفل‌گذاری می‌کند. این حملات پرونده‌های شما را رمزگذاری می‌کند و داده‌های گران‌بهای شمارا برای اخذ باج، نگه می‌دارند. این کار با وسوسه کردن کاربران در دانلود یک پیوست یا باز کردن یک لینک انجام می‌شود. با دانلود پیوست، بدافزار را در دستگاه خود نصب می‌کنید.
 
زمانی که سیستم شما مورد حمله قرار می‌گیرد، می‌تواند یک وضعیت چالشی و خطرناک برای شما ایجاد کند. باج‌افزار با وارد شدن به سیستم شما، می‌تواند اطلاعات شمارا قفل کند. بنابراین، مهم است که همه‌چیز را درباره حذف باج‌افزار و محافظت از باج‌افزار و نحوه متوقف کردن آن بدانید.
 
در چندین سال اخیر که شیوع بدافزارها در دنیای دیجیتال رشد زیادی داشته، باج‌افزارها نیز رشد زیادی داشته‌اند و روزانه انواع مختلفی از آن ایجاد می‌شود و انتشار می‌یابد. یکی از این باج‌افزارها که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به آن اشاره شده، RXX از خانواده Crysis است که با رمزگذاری داده‌ها به‌منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می‌کند.
 
این باج‌افزار با توجه به یافته‌ها و بررسی‌های محققین حوزه بدافزار اوایل مارس سال ۲۰۱۷ میلادی ایجاد شده، ولی اولین مشاهدات آن در سال ۲۰۲۰ است. این باج‌افزار در طی فرآیند رمزگذاری، کلیه فایل‌ها را براساس این الگو تغییر نام می‌دهد: نام اصلی فایل، شناسه منحصر به فرد، آدرس ایمیل مجرمان سایبری و .rxx در انتهای هر فایل. همچنین براساس آخرین اطلاعات موجود، این باج‌افزار نیز همانند باج‌افزارهای دیگر از طریق پیوست‌های ایمیل آلوده (ماکرو)، وب‌سایت‌های تورنت، تبلیغات مخرب انتشار ‌می‌یابد.
 
مهاجمان به‌صورت مستقیم مبلغ باج را تعیین نکرده‌اند و کاربران قربانی شده باید با استفاده از آدرس‌های ایمیلی که در فایل راهنما نمایش داده می‌شود با مهاجمان ارتباط برقرار کنند تا مقدار و نحوه پرداخت باج مشخص شود. آدرس‌های ایمیل به‌صورت getdecoding@protonmail.com و back_data@foxmail.com است. چنانچه مهاجمان در طول ۱۰ ساعت پاسخی از سمت کاربر دریافت نکنند دراین صورت کاربران برای برقراری ارتباط با مهاجمان باید از طریق ایمیل دوم اقدام کنند.
 
یکی دیگر از این باج‌افزارها Random Ransome است که برای اولین بار توسط S!Ri در ابتدای آوریل سال ۲۰۲۰ میلادی گزارش شده اما در بررسی‌هایی که روی فایل باج‌افزار صورت گرفته، زمان کامپایل آن تغییر یافته و به تاریخ ۲۰۹۸ تنظیم شده است. این باج‌افزار با افزدون پسوند .Random به انتهای هرفایل آنها را رمزگذاری می‌کند. به محض اتمام فرآیند رمزگذاری، RANDOM یک فایل متنی ویژه را در هر پوشه‌ای که حاوی داده‌های رمزگذاری باشد قرار می‌دهد و تنها راه بازیابی اطلاعات رمزگذاری‌شده استفاده از یک کلید رمزگشایی منحصربه‌فرد است و برگرداندن فایلها بدون کلید موجود غیرممکن است.
 
نحوه انتظار این باج‌افزار نیز احتمال داده می‌شود از طریق پیوست‌های ایمیل آلوده (ماکرو)، وب‌سایت‌های تورنت، تبلیغات مخرب باشد. قربانیان می‌توانند با بازی کردن یک بازی که با کلیک روی دکمه GAME PLAY راه‌اندازی شوند، رمزگشایی فایل‌ها را انجام دهند. قربانیان باید در ظرف مدت یک ساعت ۵۰ امتیاز کسب کنند، پس از آن توسعه‌دهندگان Ransom Random یک کلید رمزگشایی را فعال می‌کنند.
 
مرکز ماهر برای پیشگیری از آلودگی به باج‌افزارها، به نکاتی اشاره کرده است ازجمله گرفتن فایل پشتیبان به‌صورت دوره‌ای از فایل‌های سیستم و ذخیره آن در محل دیگر، استفاده از آنتی‌ویروس قوی و به‌روزرسانی مداوم آن، خودداری از بازکردن و اجرای فایل‌های مشکوک و ناشناس، خودداری از بازکردن ایمیل‌های مشکوک و ناشناس، اطمینان از سالم بودن دستگاه‌های جانبی مانند فلش، استفاده از رمزعبور قوی روی درایوهای سیستم، استفاده از سیستم‌عامل جدید و به‌روزرسانی شده، به‌روزرسانی مداوم سیستم عامل و پیکربندی مناسب پروتکل‌های مورد استفاده در شبکه متناسب با محیط کار.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.