مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای با اعلام شناسایی جدیدترین بدافزارهای باجگیر، نسبت به سوءاستفاده از این نرم افزارهای مخرب از طریق ایمیل و صفحات وب به کاربران هشدار داد.
در سالهای اخیر مهاجمان زیادی به سمت گونهای از بدافزارها، که باجافزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد میکنند. آن ها سعی میکنند از غفلت و سهلانگاری کاربران بهره برده و از روشهای مختلفی مانند ایمیلها، صفحات وب و پیامهای آلوده، از افراد سوءاستفاده کنند.
باجافزارها گونهای از بدافزارها (نرم افزارهای مخرب) به شمار میآیند که قادرند به روشهای مختلف از جمله رمزنگاری، دسترسی قربانی به فایلها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند.
سیر رشد باجافزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش میشود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در گزارشی آخرین رویدادهای اعلام شده در حوزه باج افزارهای رایانه ای را طی ماه اخیر اعلام کرده است و جدیدترین باج افزارها را برای آگاهی کاربران معرفی کرده است.
۱-باج افزار FenixLocker
باج افزار جدید FenixLocker به تازگی شناسایی شده است. این باج افزار فایلهای قربانی را با استفاده از الگوریتم AES رمز کرده و عبارت .centrumfr@india.com!! را در انتهای فایل های رمز شده قرار می دهد. در هر فایل رمز شده یادداشت FenixILoveyou!! قرار داده شده است.
۲-باج افزار HDDCryptor
باج افزار HDDCryptor که با نام Mamba نیز شناخته شده است، گونه جدیدی از باجافزارها به حساب می آید که MBR بخش بوت را بازنویسی کرده و کاربران را قفل می کند.
۳-نسخه جدید باج افزار Fantom
نسخه جدیدی از باجافزار Fantom به تازگی شناسایی شده که در آن ویژگی های جالبی به باج افزار قبلی، افزوده شده است. از جمله این ویژگیها میتوان به استخراج اطلاعات و رمزنگاری شبکه به اشتراک گذاشته شده، تولید تصویر پس زمینه تصادفی و رمزنگاری آفلاین اشاره کرد. علاوه بر این به نظر می رسد مقدار باج درخواستی و ایمیل مربوط به ارتباط با مهاجم نیز بسته به نام فایل، برای هر قربانی متفاوت است.
۴-تغییر در باجافزار Locky
باج افزار Locky علاوه بر اجرا در حالت آفلاین، مجددا امکان برقراری ارتباط با کارگزار کنترل و فرمان را نیز به خود اضافه کرده است. اجرا به صورت آفلاین دارای مزایا و معایب متعددی است، از جمله آنکه در صورت کار به صورت آفلاین، شبکه Locky از دید مراجع قانونی و تحلیلگران مخفی خواهد ماند. اما از طرفی در صورت عدم ارتباط قربانی با کارگزار کنترل و فرمان نمیتوان تخمینی از تعداد قربانیان و وسعت آلودگی داشت.
در نسخه جدیدی که از باجافزار Locky شناسایی شده، پسوند فایل های رمز شده از ZEPTO به .ODIN تغییر یافته است. البته فایل های رمز شده با این باجافزار نباید با فایل های رمز شده توسط باج افزار Odin اشتباه گرفته شود.
۵-باج افزارCyber SpLiTTer Vbs
محققان به تازگی باجافزاری به نام Vbs SpLiTTer Cyber را شناسایی کردهاند که به نظر میرسد در حال توسعه باشد چرا که تاکنون هیچ عملکرد مربوط به رمزنگاری در آن مشاهده نشده است.
۶-باجافزار UnblockUPC
باجافزار UnblockUPC باجافزار جدیدی است که پس از آلودگی، یادداشت باجی با نام txt.encrypted ایجاد کرده که در آن یک شناسه یکتا برای قربانی و سایت پرداختی که قربانی باید به آن مراجعه کند، مقدار باج درخواستی توسط این باجافزار نیز ۰.۱۸ بیت کوین یا ۱۰۰ یورو تعیین شده است.
۷-باجافزار MarsJoke و انتشار ابزار رمزگشای آن
باجافزار MarsJoke نخستین بار در تاریخ ۱۱ مردادماه شناسایی شده و در یک مهرماه نیز توزیع گسترده آن از طریق هرزنامه مشاهده شده است. به نظر میرسد این باجافزار سازمانهای دولتی درجه اول ایالتی و محلی و همچنین مؤسسات آموزشی آمریکایی را مورد هدف قرار داده است. آزمایشگاه امنیت کسپرسکی موفق به انتشار ابزار رمزگشای این باجافزار شده است. این ابزار قادر است فایلهای رمز شده با نسخه ۱.۹.۳۰ باجافزار را که دارای پسوند .a۱۹ هستند، با ابزار RannohDecryptor رمزگشایی کند.
۸- باجافزار Nagini
یکی از باجافزارهایی که بهتازگی شناسایی شده باج افزار Nagini است. در صفحه قفل این باجافزار، تصویری از ولدمورت که یکی از شخصیتهای داستان هری پاتر است، نمایش داده شده است. در واقع Nagini نام مار ولدمورت در این داستان است. فایلهای مورد هدف این باجافزار دارای پسوندهای .pdf. exe ، jpeg ، .jpg ، .png ، .bmp ، .xls ، .pptx ، .ppt ، .docx ، .doc هستند. این باجافزار به جای استفاده از بیت کوین، از طریق وارد کردن شماره کارت اعتباری باج خود را دریافت میکند.
۹-باجافزار Help_dcfile
محققین باجافزار جدیدی را شناسایی کرده اند که به دلیل نام فایل یادداشت باج که help_dcfile.txt نام دارد، آن را help_dcfile نام نهادهاند. فایلهای رمز شده توسط این باجافزار دارای پسوند XXX است.
۱۰- باجافزار دونالد ترامپ
باجافزار دونالد ترامپ ازجمله بدافزارهایی است که در جریان انتخاباتی آمریکا ایجاد شده است. البته این باج افزار در نسخه آزمایشی خود بوده و باجی برای رمزگشایی فایل ها دریافت نمیکند. البته احتمال آنکه از این باجافزار در هرزنامههای انتخاباتی استفاده شود بسیار زیاد است و به همین دلیل لازم است کاربران دقت بیشتری در گشودن اینگونه ایمیل ها داشته باشند. این باجافزار از الگوریتم AES برای رمزنگاری فایل ها بهره برده و فایلهای رمز شده نیز دارای پسوند .ENCRYPTED هستند.
۱۱- باجافزار DXXD
این باج افزار پیش از این شناسایی شده بود و هم اکنون ابزار رمزگشای باجافزار DXXD منتشر شده است.
۱۲-Princess Locker
باجافزار جدیدی به نام Princess شناسایی شده است که فایلهای قربانی را رمز کرده و مقدار باج ۳ بیت کوین یا ۱۸۰۰ دلار از وی درخواست کرده است. درصورتی که قربانی باج را در زمان تعیین شده پرداخت نکند، مقدار باج دو برابر شده و به ۶ بیت کوین افزایش مییابد.
۱۳-باج افزار AL-Namrood و انتشار ابزار رمزگشای آن
محققین موفق شده اند ابزار رمزگشایی برای باج افزار AL-Namrood منتشر سازند. این باجافزار از باجافزارApocalypse مشتق شده است. مهاجمین کارگزارانی را مورد هدف قرار دادهاند که سرویس دسترسی به دسکتاپ از راه دور روی آنها فعال است. فایلهای رمز شده توسط این باجافزار دارای پسوند .unavailable بوده و فایلی با نام *.Read_me.Txt به ازای هر فایل رمز شده ایجاد میشود.
۱۴-باجافزار TeamXrat
مجرمین برزیلی که پیش از این به دلیل مهارت بالای خود در زمینه تروجانهای بانکی به شهرت رسیده بودند، وارد حیطه باجافزارها شدهاند. باجافزار ساخته شده توسط این گروه Trojan -Xpan.Win۳۲.Ransomنام داشته و شرکتها و بیمارستان ها را مورد هدف قرار داده است. فایلهای رمز شده توسط این باجافزار دارای پسوند .___xratteamLucked هستند.
۱۵-باجافزار Nuke
باجافزارNuke که به تازگی شناسایی شده، قادر است با استفاده از الگوریتم AES فایلهای قربانی را رمز کرده و نام فایل را تغییر دهد. پس از پایان یافتن پروسه رمزنگاری یادداشت داده_!! RECOVERY_instructions_!!.html و _!! RECOVERY_instructions_!!.txt به قربانی نمایش داده می شود که در آن نحوه ارتباط با مهاجم و پرداخت باج شرح داده شده است. نام اصلی فایل، آدرس و دیگر اطلاعات به پایان فایل رمز شده اضافه می شود.
۱۶-انتشار ابزار رمزگشای باجافزار Globe
باج افزار Globe ابزار رمزگشای خود را به روزرسانی کرده است. فایلهای رمز شده توسط این باجافزار یا دارای پسوند .purge است و یا آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل قرار میگیرد.
مرکز ماهر با اعلام ۱۶ مورد از باج گیرهای سایبری، از کاربران خواست: برای جلوگیری آلودگی توسط بدافزارها توصیههای متداولی از جمله عدم باز کردن ایمیلهای ناشناس و مشکوک، عدم مراجعه به وبسایتهای ناامن، استفاده و اطمینان از فعال بودن برنامههای ضدویروس روی سیستم و تهیه نسخه پشتیبان از اطلاعات و ذخیره آن روی یک حافظه خارجی را جدی بگیرند.
این توصیهها اگرچه بسیار ساده هستند اما میتوانند از خسارات جبرانناپذیری جلوگیری کنند.