دو باج‌افزار خطرناک بازگشته‌اند

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

2

باج‌افزار Mamba و لاکی با انواع تخریب جدید و بیشتری نسبت به قبل بازگشته‌اند.

باج‌افزارها در حدود چند سال همین اطراف بوده‌اند، اما اکنون برای همه تبدیل به یک کابوس شده‌اند. از کسب‌وکارهای بزرگ و موسسات مالی تا بیمارستان‌ها و افراد سراسر جهان قربانی این تهدیدات می‌شوند و از طریق آنها، مجرمان سایبری میلیون‌ها دلار به‌دست آورده‌اند.

در چندماه گذشته، شاهد حملات باج‌افزاری ازجمله باج‌افزارهای واناکرای، پتیا و LeakerLocker بوده‌ایم که با تعطیل کردن بیمارستان‌ها، تولید وسایل نقلیه، ارتباطات مخابراتی، بانک‌ها و بسیاری از کسب‌وکارها، باعث ایجاد آشفتگی در سراسر جهان شده‌است. قبل از باج‌افزارهای واناکرای و پتیا، سال گذشته باج‌افزار Mamba با رمزنگاری کامل صفحه و باج‌افزار لاکی در سراسر جهان هرج‌ومرج ایجاد کرده‌بودند و خبر بد این است که آنها با انواع تخریب جدید و بیشتری نسبت به قبل بازگشته‌اند.

باج‌افزار Diablo6، نسخه‌ جدید باج‌افزار لاکی
باج‌افزار لاکی که برای اولین‌بار در اواخر سال ۲۰۱۶ میلادی ظاهر شد، یکی از بزرگ‌ترین آلودگی‌های باج‌افزاری توزیع‌شده بود که سازمان‌هایی را در سراسر جهان آلوده کرده‌است. باج‌افزار لاکی با فریب دادن قربانیان برای کلیک کردن بر روی پیوست‌های مخرب، تقریبا تمامی فرمت‌های پرونده را بر روی رایانه و شبکه‌ قربانی رمزنگاری کرده و آنها را زمانی‌که باج در قالب بیت‌کوین به مهاجمان پرداخت شود، باز می‌کند.

این باج‌افزار از طریق بات‌نت‌های Necurs و Dridex، انواع مختلفی از خود را توزیع کرده‌است. این‌بار محققان امنیتی یک پویش بدافزاری هرزنامه‌ جدید را کشف کرده‌اند که نوع جدیدی از بدافزار لاکی را با نام Diablo6 توزیع می‌کند و رایانه‌های سراسر جهان را هدف قرار داده‌است، آمریکا بیشتر مورد هدف بوده‌است و پس از آن اتریش قرار دارد.

یک محقق امنیتی مستقل با استفاده از نام مستعار برخط Racco42 برای نخستین‌بار نوع جدیدی از لاکی را مشاهده کرد که پرونده‌ها را بر روی رایانه‌های آلوده رمزنگاری کرده و پرونده‌ای را با پسوند .diablo۶ اضافه می‌کند. به‌طور معمول، انواع بدافزارها در یک ایمیل حاوی یک پرونده‌ ورد مایکروسافت به‌عنوان یک پیوست می‌آیند که هنگام باز کردن آن یک اسکریپت بارگیری‌کننده‌ VBS اجرا می‌شود که پس از آن تلاش می‌کند تا از یک کارگزار پرونده‌ از راه دور، Diablo6 لاکی را بارگیری کند.

سپس باج‌افزار، قبل از نمایش پیامی که قربانیان را برای بارگیری و نصب مرورگر Tor ترغیب کرده و از آنها می‌خواهد که برای دریافت دستورالعمل‌ها و پرداخت‌های بیشتر از وب‌سایت مهاجم بازدید کنند، پرونده‌ها را با استفاده از کلید RSA-۲۰۴۸ بر روی رایانه‌ آلوده رمزنگاری می‌کند. این نوع از Diablo6 لاکی از قربانیان برای بازگرداندن پرونده‌های خوددر مجموع ۰.۴۹ بیت‌کوین (بیش از ۲،۹۷۹ دلار) درخواست می‌کند. متاسفانه، در این زمان بازگرداندن پرونده‌های رمزنگاری‌شده توسط .diablo۶ غیرممکن است، بنابراین کاربران باید هنگام باز کردن پیوست‌ ایمیل‌ها احتیاط کنند.

بازگشت صفحه‌های رمزنگاری‌شده توسط باج‌افزار Mamba
Mamba یکی دیگر از قدرتمندترین و خطرناک‌ترین باج‌افزارها است که به‌جای پرونده‌ها، کل هارددیسک را بر روی ایمیل آسیب‌دیده رمزنگاری کرده و سامانه را به‌طور کامل غیرقابل استفاده می‌کند، مگر اینکه باج پرداخت شود. روش‌های مشابهی از حملات سایر باج‌افزارها مانند باج‌افزارهای واناکرای و پتیا را مورد استفاده قرار می‌دهد، اما باج‌افزار Mamba به‌جای اخاذی از بیت‌کوین‌ها برای تخریب شرکت‌ها و دیگر سازمان‌های بزرگ طراحی شده‌است.

در اواخر سال گذشته، Mamba طی تعطیلات روز شکرگزاری، شبکه‌ سامانه‌ آژانس حمل‌ونقل شهری سان‌فرانسیسکو (MUNI) را آلوده کرد و باعث تاخیر قطار اصلی و مجبور شدن مقامات برای تعطیلی دستگاه‌های بلیت و دروازه‌های کرایه در برخی از ایستگاه‌ها شد. در‌حال‌حاضر، محققان امنیتی در آزمایشگاه کسپرسکی پویش جدیدی از توزیع باج‌افزار Mamba را مشاهده کرده‌اند که شبکه‌های شرکت‌های بزرگ در کشورها به‌ویژه در برزیل و عربستان سعودی، هدف قرار داده‌است.

Mamba با استفاده از ابزار رمزنگاری دیسک ویندوز متن‌باز به نام DiskCryptor به‌طور کامل هارددیسک‌های رایانه‌های سازمان‌های هدف را رمز می‌کند، بنابراین هیچ راهی برای رمزگشایی داده‌ها وجود ندارد، چراکه الگوریتم‌های رمزنگاری استفاده شده توسط DiskCryptor بسیار قوی هستند. اگرچه مشخص نیست که در ابتدا این باج‌افزار چگونه راه خود را به شبکه‌های شرکت‌ها پیدا می‌کند، محققان بر این باورند که مانند بیشتر انواع باج‌افزارها، Mamba ممکن است از یک کیت بهره‌برداری در معرض خطر یا وب‌سایت‌ها یا ضمیمه‌های مخرب ارسال شده از طریق ایمیل‌ها استفاده کند. یادداشت باج بلافاصله پول درخواست نمی‌کند، بلکه بر روی صفحه‌ آلوده شده تنها یک پیام نشان می‌دهد که ادعا می‌کند هارددیسک قربانی رمزنگاری شده‌است و دو آدرس ایمیل و یک شماره‌ شناسه‌ منحصربه‌فرد برای بازیابی کلید ارائه می‌دهد.

محافظت از رایانه‌ها در برابر حملات باج‌افزاری


با توجه به چندین شیوع گسترده‌ باج‌افزاری که در چند ماه گذشته اتفاق افتاده‌است، باج‌افزارها به یکی از بزرگ‌ترین تهدیدات برای افراد و شرکت‌ها تبدیل شده‌اند. درحال‌حاضر، برای رمزگشایی داده‌های قفل شده توسط Mamba و لاکی هیچ رمزگشایی موجود نیست، بنابراین به کاربران به‌شدت توصیه می‌شود که به دنبال اقدامات پیشگیرانه برای محافظت از خود باشند.

مراقب ایمیل‌های فیشینگ باشید؛ همیشه به اسناد ناخواسته‌ ارسال شده توسط ایمیل‌ها، مشکوک بوده و هرگز بر روی پیوندهای درون آن اسناد کلیک نکنید، مگر اینکه منبع را تأیید کنید.

پشتیبان‌گیری منظم؛ همیشه برای تمامی پرونده‌ها و اسناد مهم خود یک نسخه‌ پشتیبان خوب در محلی که آنها را در یک دستگاه ذخیره‌سازی خارجی رونوشت می‌کند و همیشه به رایانه‌ شما متصل نیست، داشته‌باشید.

ضد بدافزار و به‌روزرسانی سامانه‌ها؛ همیشه ضدبدافزار و سامانه‌ خود را به‌روز نگه دارید تا در برابر آخرین تهدیدات مصون بمانید.