Cryptowall; پادشاه باجگیرهای اینترنتی
مدتی میگذرد که هکرها و سازندگان بدافزارهای مخرب، به طراحی بدافزارهای باجگیر روی آوردهاند. اکنون کار به جایی رسیده که تولید و انتشار این نوع خاص از ویروسهای رایانه ای، به یک حرفه و تجارت بزرگ و البته سودده تبدیل شده است.
نه تنها بدافزارهای باجگیر روی تعداد بسیار زیادی از رایانههای مبتنی بر ویندوز مشاهده شده اند، بلکه تا به حال چندین گونه مختلف از آنها برای سیستمهای عامل اندروید و Mac نیزشناسایی شده است.
افزایش بدافزارهای باجگیر نسبت به سالهای گذشته با افزایش چشمگیری روبرو شده است و وقت آن رسیده که برای جلوگیری از نفوذ اینگونه بدافزارهای مخرب تصمیم جدی گرفته شود.
بر اساس اعلام شرکت پاندا سکیوریتی نسلهای جدیدتر و نسخههای پیشرفتهتر بدافزارهای باج گیر، موسوم برCryptoDefense، در اواخر ماه مارس 2014 کشف شد.اما این ویروس فوق العاده خطرناک به علت اشتباه نویسندگانش که فراموش کرده بودند کلید رمزگشایی آن را از محتویات پرونده های آلوده حذف کنند با شکست مواجه شد.
بعد از آن، نوبت به Cryptowall یک بدافزار باجگیر تکامل یافته رسید. در واقع، این بدافزار، برای جبران شکست نسخه قبلی خود تولید شده تا با تکنیکها و روش های نوین، از سد برنامههای امنیتی عبور کند.
درباره CryptoWall
درست مثل CryptoDefence این کد مخرب هم می تواند با کلیدهای پیشرفته رمزنگاری، اطلاعات قربانی را طوری قفل کند که دیگر به هیچ عنوان قابل بازیابی نباشند. بعد از رمزگذاری، این ویروس به قربانی اطلاع می دهد که فقط در ازای پرداخت باجهای سنگین، دسترسی وی به فایلهای کد شده را مقدور می سازد.
بررسیهای پاندا، لابراتوار شناسایی و تحلیل بدافزارها، نشان می دهد که برخلاف بعضی از بدافزارهای باجگیر که در مواردی پس از دریافت باج، فایلهای رمزگذاری شده را به حالت اولیه بازمیگردانند، Cryptowall پس از قفل گذاری روی فایلها، به هیچ عنوان اجازه دسترسی دوباره را به قربانی نخواهد داد!
زمانی که این بدافزار روی سیستم هدف نصب شود، ابتدا فایل های روی حافظه را به دقت بررسی کرده و سپس آنها را با استفاده از روشهای کاملاً ابتکاری، رمزگذاری می کند.به همین منظور، پوشهها و فایل های جدیدی هم نام با پوشهها و فایلهای ذخیره شده در سیستم ساخته و فایل های قلابی را جایگزین فایلهای اصلی می کند.
در مرحله دوم، این ویروس فایلهای جدیدی با نام DECRYPT_INSTRUCTION.TXT و ECRYPT_INSTRUCTION.HTML
را بر روی هر یک از پوشه های آلوده ایجاد کرده و با دستورالعملهای تعریف شده بمنظور باجگیری، قربانی را با تهدیدهای گوناگون روبرو ساخته و از او اخاذی می کند!
کریپتو وال با استفاده ازفایل htmlایجاد شده، به سرور میزبان خود متصل شده و قربانی را به صفحه "خدمات رمز گشایی" فایلهای قفل شده می کشاند و با وعدههای دروغین، کاربر را تشویق به پرداخت باجهای سنگین تر می کند. فایل متنی ایجاد شده نیز، شامل دستورالعملهای مختلف درباره نحوه پرداخت پول و مراتب بازگشایی فایلهای نابود شده است.
به محض اینکه این بدافزار اجرا شود، بخش هایی از فایل منبع بدافزار که با سرور میزبان ویروس Command & Control ارتباط دارند، عملیات رمزنگاری دستگاه را فعال کرده و هر گونه قابلیت رهگیری و ردیابی در سیستم را غیرفعال میکنند.
فایلهای مخرب ویروس کریپتو وال در ابتدا به شکل بستههای فشرده هستند که باید حتماً برای شروع فرایندهای تخریبی باز شوند. به این منظور ویروس کریپتو وال، با استفاده از قابلیت اجرای خودکار، می تواند نمونه دیگری از فایل اجرایی خود را ایجاد کرده و آنها را به صورت برنامههای اجرایی قابل انتقال (File Portable Executive) به سیستم تزریق کند. این نمونههای جدید، درواقع قالب باز شده از فایل فشرده اصلی هستند. این فایلهای جدید، می توانند در هر بخشی از سیستم که باشند اجرا شده و هیچگونه وابستگی به محلی خاص برای انجام عملیات تخریبی خود ندارند.
در طول اجرای خودکار این فایلها، اولین کاری که صورت می گیرد ایجاد یک نمونه جدید از پردازش مهم Explorer.EXE است که در آن عملیات تزریق کدهای مخرب، دوباره انجام گرفته و کریپتو وال به ادامه عملیات تخریبی باقی مانده می پردازد.
بعد از آن، پردازشی به نام vssadmin بمنظور غیرفعال کردن قابلیت ردیابی و شناسایی نرم افزارهای امنیتی، اجرا خواهد شد:
vssadmin.exe Delete Shadows /All /Quiet
هم چنین ویروس کریپتو وال، در مرحله بعدی، یک نمونه جدید از پردازش svchost.EXE با پارامترهای زیر ایجاد خواهد کرد:
svchost.exe -k netsvcs
کمی بعد، این ویروس باهوش، فایل اصلی خود را از روی حافظه سیستم قربانی حذف و ادامه عملیات تخریبی خود را از طریق svchost.EXE اصلیپی خواهد گرفت.
با استفاده از پردازشsvchost.EXE که حالا آلوده شده است، کریپتو وال تلاش می کند تا با سرور مرکزی خود ارتباط بگیرد. نکته مهم این که این بدافزار تا هنگامی که به سرور میزبان خود متصل نشود، قادر به رمزنگاری فایل ها نخواهد بود.
دامنههای زیر، بخشی از فهرست مراکزی ست که نرم افزار مخرب کریپتووال باید برای دریافت دستورات جدید و انجام عملیات رمزگذاری به یکی از آنهامتصل شود:
onewsbrontima.com
oyaroshwelcome.com
ogranatebit.com
oteromasla.com
orearbeab.com
پس از اتصال به یکی از این دامنه ها، بدافزار درخواست کلید عمومی رمزنگاری می کند. این همان روش جدید درمقایسه با نسخه قبلی خود است و به همین دلیل است که کارشناسان امنیتی براین باورند که پاکسازی و ترمیم سیستم های آلوده شده به کریپتو وال در مقایسه با نمونه های قدیمی، بسیار سختتر است.
بدافزارهای باج گیر قدیمی مانند کریپتو دیفنس،از یک جفت کلید رمزنگاری تولید شده از طریق ابزارهایی به نامCryptoAPI’s CryptGenKey استفاده می کردند در صورتیکه کریپتو وال، کلیدهای رمزنگاری عمومی را از سرورهای به روز و مبتنی بر اینترنت دریافت میکند.
سپس کلیدهای رمزنگاری عمومی را از طریق ابزارCryptImportPublicKeyInfo وارد کرده و با استفاده از CryptEncrypt فایل های قربانی را کدگذاری خواهد کرد.
عملیات رمزنگاری روی فایلها از طریق خوانده شدن حداکثر0XF5 بایت از فایلهای مورد نظر صورت میگیرد. به این شکل که فایلهای اصلی کاربر ابتدا توسط CryptEncrypt رمزگذاری شده و به اندازه 0X100 بایت برروی شکل رمزگزاری شده آن فایل افزوده می گردد.
فایل نهایی که اکنون رمزگذاری شده، یک فایل هم نام با فایل اصلی، با یک پسوند تصادفی است.
در انتها ضربه نهایی وارد می شود. به این شکل که فایلهای اصلی سیستم قربانی، به طور کامل از روی حافظه پاک شده و فایل رمزگذاری شده را جایگزین فایل اصلی می کند.
این فرآیند تکرار شونده تا زمانی ادامه پیدا میکند که بخش عظیمی از مطالب و فایلهای سیستم آلوده شده رمزگذاری شود، بعد از اتمام عملیات کدگذاری، کریپتو وال یک کد شناسایی اختصاصی 12 بایتی برای سیستم قربانی تولید میکند.
در این نسخه ارتقاء یافته از بدافزارهای باجگیر، کلیدهای خصوصی رمزنگاری 2048 بیتی که روی سرور C&C باقی مانده اند، عامل اصلی در غیر ممکن ساختن بازیافت دوباره فایل های نابود شده هستند.
برای پاکسازی سیستم های آلوده می توانید
1- کل سیستم را با نسخه تجاری و به روز یک ضدویروس معتبر اسکن کنید.
2- کل سیستم را با استفاده از یک اسکنر حرفه ای به صورت رایگان اسکن کنید.
3- درصورتی که هنوز از پاکسازی سیستم مطمئن نیستید، از نسخه به روز نرم افزارهای Bootable Antivirus استفاده کنید.
البته امیدواریم که حتماً یک نسخه پشتیبان از اطلاعات مهم خود تهیه کرده باشید؛ چون متأسفانه اگر سیستم شما به ویروسهای باجگیر آلوده شود؛ حتی در صورت پاکسازی سیستم، امکان بازیابی فایلها و اطلاعات رمزگذاری شده، نزدیک به صفر خواهد بود. بنابراین موارد زیر را برای پیشگیری از نفوذ ویروس های باج گیر به سیستم رعایت کنید.
1- مطلقاً از قانون "روی هر لینکی کلیک کن!" و یا "هر چیزی رو دانلود کن!" پیروی نکنید.
2- هر از چندگاهی "فایل های موقت" اینترنتی و یا نرم افزاری سیستم (Temporary Files)را به طور کامل پاک کنید.
3- در بازکردن ایمیل های ناشناس و فایلهای ضمیمه آن ها دقت به خرج دهید.
4- مراقب پیغام هایی که در اینترنت به صورت ناگهانی برای شما نمایش داده می شوند باشید.
5- ضدویروس و فایروال سیستم را به صورت دائم بروز نگاه دارید.
6- مراقب باشید … حافظههای جانبی مانند فلش دیسکها، پخش کننده های موسیقی و .. می توانند حامل ویروس های خطرناک باشند.
7- و مهمتر ازهمه بک آپ دوره ای را فراموش نکنید!