روابط عمومی شرکت (ایدکو) توزیعکننده محصولات کسپرسکی در ایران؛اخبار حملات باجافزارها مثل اخبار اعزام به میدان جنگ بدون توقف در حال افزایش است. هر روزه محققان در پیگونههای جدیدی از باجافزارها هستند و کشفیات جدیدی دارند و راههای غیر متعارفی از مجرمان را کشف میکنند که با استفاده از آن به طور مستقیم به سرقت پول از مصرفکنندگان میپردازند. و به محض اینکه کارشناسان امنیتی متوجه شوند به دنبال برنامهای برای مقابله با آن میگردند و مجرمان هم با باجافزارها و تکنیکهای جدید از آنها پیشی میگیرند.
به تازگی یکی دیگر از نمونههای پیچیده یک باجافزار کشف شده است که لقب این باجافزار Satana است و ریشه نام آن به روسیه باز میگردد. این تروجان دو کار را انجام میدهد: فایلها را رمزگذاری کرده و “مستربوترکورد” ویندوز(MBR) را آلوده میکند و در نتیجه روند بوت ویندوز مسدود میشود.
ما در حال حاضر در مورد باجافزاری صحبت میکنیم که MBR را آلوده میکند. باجافزار بدنام Petya هم یکی از نرمافزارهای این چنینی است. در برخی موارد Satana هم رفتاری شبیه این را دارد.
برای مثال کدهایش را به MBR تزریق می کند. البته فرق آنها در این است که پتیا MFT را رمزگزاری میکند ولی Satana ، MBR را رمزگزاری میکند. برای رمزگزاری فایلهای کامپیوتر Petya با کمک تروجانی که Mischa نامیده شده است این کار را انجام داده اما Satana هر دوی این وظایف را به تنهایی مدیریت میکند.
ما سعی میکنیم برای کسانی که با عملکرد داخلی کامپیوتر آشنا نیستند بیشتر توضیح دهیم تا بهتر متوجه شوند. MBR بخشی از هارد دیسک است. این بخش شامل اطلاعاتی بر روی سیستم فایل است که توسط قسمتهای مختلف هارددیسک مورد استفاده قرار میگیرد که البته بخشی از سیستم عامل هم بر روی آن ذخیره شده است.
اگر MBR خراب یا رمزگزاری شود، کامپیوتر دسترسی به یک قطعه مهم را از دست میدهد که شامل قسمت سیستمعامل است. اگر کامپیوتر قادر به یافتن سیستم عامل نشود نمیتواند عملیات بوت کردن را انجام دهد.
مجرمان پشت باجافزارهایی مانند Satana با استفاده از این ترفند پنهان میشوند و کریپتولاکرهای خود را با قابلیت بوتلاکر افزایش میدهند. هکرها MBR را مبادله کرده و آن را با کدی از باج جایگزین میکنند، MBR را رمزگزاری و آن را به جای دیگر انتقال میدهند.
مبلغی که باجخواهان بابت رمزگشایی MBR و در دسترس قرار دادن کلید برای رمزگشایی فایلهای آلوده درخواست کردند حدود ۰.۵ بیتکوین بود (که تقریبا معادل ۳۴۰$ است). سازنده Satana میگوید: هنگامی که باج پرداخت شود، دسترسی به سیستمعامل قابل دسترس خواهد شد و همه چیز به حالت قبل باز میگردد. حداقل این چیزی است که آنها میگویند.
زمانی که Satana در سیستم است، تمام درایوها و نمونههای شبکه را اسکن کرده و پسنودهای زیر را جستجو میکند .bak, .doc .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .۷z, .cpp, .pas, and .asm و asm. و رمزگزاری را شروع کنند. همچنین یک آدرس ایمیلی با سه آندرلاین برای شروع اسم فایل خود اضافه میکند( به عنوان مثال: test.jpg میتواند به Sarah_G@ausi.com___test.jpg تبدیل شود).
این آدرس ایمیلها به منظور اطلاعات تماس برای قربانیان ساخته میشود که در آن دستورالعمل پرداخت و بعد از آن برای پس گرفتن کلید رمزگشا است. محققان تا به حال ۶ نمونه از این نوع ایمیل آدرسها که در این کمپین استفاده میشود را دیدهاند.
خبر خوبی وجود دارد آن هم این است که میشود تا حدودی این قفل را دور زد: با مهارتی خاص، میتوان MBR را ثابت نگه داشت. کارشناسان در کلوپ وبلاگ ویندوز دستورالعملهایی برای ثابت نگه داشتن MBR با استفاده از ویژگی بازگردانی سیستم عامل در ویندوز ساختهاند. در هر صورت، این ویژگی برای کاربران باتجربهای طراحی شده است که با این راهکار سریع بتوانند با آن به راحتی کار کنند که این ابزار bootrec.exe میباشد.
اما احتمالا این راه برای یک کاربر معمولی خوشایند نباشد و با آن احساس راحتی نکند. در عین حال خبر بدی هم وجود دارد که با وجود اینکه ویندوز موفق شد قفل را باز کند اما نیمی دیگر از مشکل پابرجاست و رمزگذاری فایلها همچنان سرجای خودش است.
در این مرحله، بنظر میرسد که Satana شروع باجافزارهای حرفهای را با خود به همراه داشته است. البته این باجافزار هنوز همهگیر نشده و محققان عیوبی را در کدگزاری این نوع باجافزار یافتند. به هر حال، فرصت خوبی است که راهکارهای امنیتی خود را قوی کنید زیرا همیشه پیشگیری بهتر از درمان است.
مشاوره ما برای کاربران در این خصوص تمرین روی محافظت مداوم است. توصیههای ساده ما به شما کمک خواهدکرد تا خطر ریسک آلودگی را کاهش دهید و تا حد امکان از خطرات این چنینی در امان بمانید.
۱. به طور مداوم از فایلهای خود بکآپ بگیرید:
این راهکار برای شما همانند بیمهنامه است. در صورت حمله باجافزارها، شما میتوانید سیستمعامل خود را مجدد نصب کنید و فایلهای خود را از نسخه بکآپ بازیابی کنید.
۲. وبسایت و ایمیلهای مشکوک را به هیچ وجه باز نکنید:
حتی اگر لینک یا ایملیی از شخصی است که شما آن را میشناسید آن را باز نکنید. برای این کار بسیار محتاطانه عمل کنید: بهت راست کمی در مورد راهها و تکنیکهای انتشار باجافزار Satana بدانید.
۳. به یک آنتیویروس امنیتی مطمئن اعتماد کنید.
اینترنت سکیوریتی کسپرسکی Satana را به عنوان Trojan-Ransom.Win32.Satan شناسایی میکند و مانع رمزگزاری یا قفل کردن سیستم شما میشود.
۴. خبرها را در وبلاگ کسپرسکیآنلاین دنبال کنید:
ما همیشه سعی داریم در اسرع وقت در مورد جدیدترین نوع باجافزارها و خطرات سایبری که شما را تهدید میکنند، اطلاعرسانی کنیم تا آنها شما را بطور ناگهانی غافلگیر نکنند.
منبع: کسپرسکیآنلاین