جدیدترین باج افزارهای کشف شده در ماه اخیر

باج‌افزارها گونه‌ای از بدافزارها به شمار می‌آیند که قادرند به طرق مختلفی ازجمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و تنها در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باج‌افزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه پیش می‌آید.

در گزارش ارائه‌شده اطلاعاتی راجع به باج‌افزار جدیدی مانند Herbst، نسخه‌های جدید باج‌افزارهای Crysis، Nemucod و کشف 7 گونه جدید از باج‌افزار  Jigsaw وانتشار ابزار رمزگشایی برای باج‌افزارهای cripttt، TeslaCrypt و jigsaw منتشر شده است.

1- باج‌افزار Herbst

در 15 خردادماه، شرکت Fortinet باج‌افزار جدیدی را کشف کرده که نام آن را Herbst گذاشته است. این باج‌افزار آلمان را مورد هدف قرار داده است و فایل‌های قربانیان را با استفاده از AES رمزنگاری کرده است. فایل‌های رمزشده توسط این باج‌افزار دارای پسوند herbst. است. باج درخواستی توسط این باج‌افزار 0.1 بیت کوین (حدود 50 دلار آمریکا) است. نمایی از یادداشت به‌جا گذاشته شده توسط باج‌افزار در شکل 1 نمایش داده شده است.

 یادداشت مربوط به باج‌افزار Herbst

2- انتشار ابزار رمزگشایی باج‌افزار روسی .criptikod یا cripttt

در 16 خرداد ماه، فردی به نام مایکل گیلسپی خبر مربوط به کشف ابزار رمزگشایی برای باج‌افزار روسی.criptikod  یا cripttt را در حساب توییتر خود اطلاع رسانی کرده است. این باج‌افزار به زبان روسی بوده و این کشور را مورد هدف قرار داده است. ابزار منتشر شده در آدرس http://virusinfo.info/showthread.php?t=185396 قرار داده شده است.

3- کشف نسخه‌های جدید باج‌افزار Jigsaw

در 17 خرداد ماه گونه‌های جدیدی از باج‌افزار Jigsaw مشاهده شده است که برای فایل‌های رمزشده خود پسوند .payms، .paymst، .pays، .paym، .paymrss، .payrms و .paymts قرار داده‌اند. آقای مایکل گیلسپی رمزگشای این باج‌افزار را برای رمزگشایی این فایل‌ها، به‌روزرسانی کرده است که می‌توان آن را از آدرس http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/ دریافت کرد]4[.

4- کشف نسخه‌ی جدید باج‌افزار Crysis

در 17 خرداد ماه نسخه‌ی جدیدی از باج‌افزار Crysis کشف شده است که فایل‌ها را رمز کرده و به فایل‌های رمزشده پسوند این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید اضافه می‌کند. پس از آن باج‌افزار یادداشتی قرار می‌دهد که بر اساس آن قربانی باید برای دریافت دستورات مربوط به پرداخت باج، به آدرس این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید یا این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید ایمیل زند. نمونه‌ای از این یادداشت در شکل 2 نمایش داده شده است.

یادداشت قرار داده شده توسط باج‌افزار Crysis

یک روز پس از کشف این نسخه‌ی جدید، در 18 خردادماه ESET درباره رشد و گسترش گسترده‌ی خانواده این باج‌افزار هشدار داد. به نظر می‌رسد پس از پایان یافتن پروژه باج‌افزار TeslaCrypt، تیم مهاجمین روی باج‌افزار Crysis تمرکز کرده است. بر اساس یافته‌های ESET، این باج‌افزار از طریق هرزنامه‌های حاوی فایل‌های مخرب و یا تروجان‌هایی که به نظر برنامه‌های مفیدی می‌آیند، منتشر می‌شود.

5- کشف گونه‌ی جدید باج‌افزار Nemucod

در 20 خردادماه گونه‌ی جدیدی از باج‌افزار Nemucod کشف شده که قادر است PHP را دانلود کرده و با استفاده از آن فایل‌های قربانی را رمز کند و در پایان فایل‌های رمزشده پسوند .crypted قرار دهد. ابزار رمزگشایی این‌گونه جدید نیز در حساب توییتر آقای فابین وسار منتشر شده است که می‌توان آن را از آدرس http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/ دریافت کرد.

6- انتشار ابزار جامع رمزگشایی TeslaCrypt

پس از آن‌که پروژه مربوط به باج‌افزار TeslaCrypt متوقف و کلید رمزگشایی آن منتشر شد، قربانیان قادر بودند فایل‌های رمز شده توسط نسخه‌ی 3 و 4 این باج‌افزار را رمزگشایی کنند. البته برای رمزگشایی فایل‌های رمزشده توسط نسخه‌های قدیمی‌تر این باج‌افزار نیز ابزارهای دیگری مانند TeslaDecoder وجود دارد. حال تیم تحقیقاتی سیسکو ابزار جدیدی ارائه داده است که با استفاده از آن قربانیان می‌توانند فایل‌های رمزشده توسط هر یک از نسخ این باج‌افزار را رمزگشایی کنند. استفاده از این ابزار برای کسانی که نمی‌دانند توسط کدام نسخه از باج‌افزار TeslaCrypt آلوده شده‌اند، می‌تواند بسیار مفید باشد.

7- جمع‌بندی

در طی سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها، که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن‌ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از طرق مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سواستفاده کنند. برای جلوگیری از آلودگی توسط بدافزارها توصیه‌های متداولی ازجمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وب‌سایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه‌ی نسخه‌ی پشتیبان از اطلاعات و ذخیره‌ی آن‌ها روی یک حافظه‌ی خارجی، وجود دارد. این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند.

منبع: مرکز ماهر