باج افزار Sodinokibi

باج افزار  Sodinokibi

این باج افزار پیام های باج را در پوشه هایی که حاوی پرونده های رمزگذاری شده هستند قرار می دهد. نام پرونده متنی بستگی به افزونه اضافه شده به پرونده رمزگذاری شده دارد. به عنوان مثال، اگر پسوند “۶۸۶l0tek69” باشد، پرونده رمزنگاری شده به عنوان مثال از jpg.1 به jpg.686l0tek69.1 تغییر نام داده میشود، پیام فایل باج نیز با نام ۶۸۶l0tek69-HOW-TO_DECRYPT.txt و همچنین تصویر Sodinokibi ضمیمه آن خواهد شد.

[/vc_row]

پیام باج توضیح می دهد که افرادی که رایانه آنها آلوده به این باج افزار هستند می توانند پرونده های خود را تنها با پیروی از دستورالعمل های ارائه شده توسط مجرمان سایبری که آن را تهیه کرده اند رمزگشایی کنند. برای رمزگشایی داده ها ، کاربران باید با استفاده از یکی از دو پیوند ارائه شده به وب سایت ها مراجعه کنند. یکی باید با استفاده از مرورگر Tor باز شود و دیگری با مرورگر دیگری مانند Google Chrome ، Mozilla Firefox ، Opera ، Internet Explorer  یا  Microsoft  Edge.  اظهار شده است که پیوند / وب سایت ایجاد شده برای مرورگرهای غیر از Tor می تواند توسط مرورگر مسدود شود و بنابراین به کاربران توصیه می کنند از اولین لینک وب سایت استفاده کنند. در هر صورت ، پس از باز شدن، وب سایت از کاربران می خواهد که کلید ارائه شده در پیام باج پرونده(.txt)  را کپی و جایگذاری کرده و نام فرمت را وارد کنید (که در همان پرونده متنی ارائه شده است). سپس صفحه دیگری را باز می کند که به قربانیان اطلاع می دهد که دو روز فرصت دارند برای پرداخت باج ۲۵۰۰ دلار بپردازند. بعداً هزینه آن به ۵۰۰۰ دلار می رسد. باج باید به آدرس کیف پول بیت کوین (پرداخت شده در رمزپرداختی) ارائه شده منتقل شود. به گفته مجرمان سایبری، وقتی پرداخت صورت می گیرد، قربانیان باید سه تأیید دریافت کنند. آنها سپس ظاهراً وب سایت را بارگیری می کنند که یک لینک بارگیری برای ابزار رمزگشایی ایجاد می کند. از قربانیان خواسته می شود که پرونده های خود را با ابزارهای دیگر (شخص ثالث) رمزگشایی نکنند – طبق گفته های مجرمان سایبری، استفاده از آنها ممکن است باعث از دست رفتن دائمی داده ها شود. به طور معمول، مجرمان سایبری فقط تا زمانی که باج دریافت کرده اند، همکاری می کنند. پس از آن، بیشتر قربانیان را نادیده می گیرند و هیچ ابزار / کلید مورد نیاز برای رمزگشایی ارسال نمی کنند. خلاصه ، مردم کلاهبرداری می کنند. متأسفانه هیچ ابزاری قادر به رمزگشایی پرونده های رمزگذاری شده توسط سودینوکیبی به صورت رایگان نیست. فقط مجرمان سایبری که آلودگی های باج افزار خاصی را ایجاد کرده اند می توانند ابزار رمزگشایی را ارائه دهند. در بیشتر الگوریتم های رمزنگاری که برای رمزگذاری پرونده ها استفاده می شوند، بدون استفاده از کلیدها و ابزارهای رمزگشایی خاص، امکان شکستن آنها غیرممکن است. بهترین گزینه در این موارد بازیابی فایل ها با استفاده از نسخه پشتیبان است.

برخی از نمونه های برنامه های ransomware دیگر عبارتند از BellevueCollegeEncryptor ، Hceem  و Hrosas. بیشتر آنها برای رمزگذاری پرونده ها و قفل نگه داشتن آنها ایجاد می شوند مگر اینکه مبلغ باج پرداخت شود.  هرگونه اختلاف هزینه رمزگشایی و الگوریتم رمزنگاری است که برای رمزگذاری داده ها استفاده می شود. متأسفانه، در اکثر موارد ، شکستن آنها غیرممکن است، مگر اینکه باج افزار کاملاً توسعه نیافته باشد یا حاوی اشکالات / نقص ها باشد.

برای جلوگیری از، از بین رفتن داده ها بخصوص پرونده های مالی آلوده به باج افزار، به طور منظم از اطلاعات خود نسخه ی پشتیبان تهیه کنید و آنها را روی سرورهای خارج از شبکه یا دستگاه های ذخیره سازی ذخیره کنید.

چگونه باج افزار رایانه من را آلوده کرده؟

 

برخی از روشهای متداول برای تکثیر باج افزار و سایر برنامه های مخرب کمپین های اسپم، Trojans، به روزرسانی های نرم افزاری جعلی، منابع بارگیری نرم افزار مشکوک و ابزارهای کرک نرم افزار هستند. در آلودگی های مربوط به هرزنامه ها، مجرمان سایبری ایمیل هایی ارسال می کنند که حاوی پیوست های مخرب هستند. آنها این ایمیل ها را به عنوان تلاش رسمی و مهم برای فریب افراد در باز کردن پرونده های پیوست شده ارائه می دهند، که معمولاً اسناد مایکروسافت آفیس و PDF ، بایگانی هایی مانند فایل های ZIP ، RAR ، پرونده های JavaScript ، اجرایی (.exe) و غیره هستند. در صورت باز شدن ، آنها باج افزار یا سایر بدافزارهای پرخطر را بارگیری و نصب می کنند. اگر Trojan از قبل روی رایانه نصب شده باشد ، می تواند تهدیدات دیگر را گسترش دهد. برنامه هایی از این نوع، اغلب باعث آلودگی های زنجیره ای می شوند. به روزرسانی های نرم افزاری جعلی، نرم افزارهای مخرب را به جای به روزرسانی ها یا رفع مشکلات پیش بینی شده / نصب می کنند. این ابزار همچنین می تواند برای سوء استفاده از نقص نرم افزار منسوخ شده، استفاده شود. منابع غیر قابل اعتماد برای بارگیری (مانند شبکه های Peer-to-Peer ، وب سایتهای میزبانی فایل رایگان ، وب سایتهای بارگیری مجانی ، وب سایتهای غیررسمی و سایر کانالهای مشابه) برای توزیع باج افزار استفاده می شوند. مجرمان سایبری از این کانالها استفاده می کنند تا بدافزار خود را به عنوان پرونده های بی ضرر ارائه دهند. وقتی افراد آنها را بارگیری و باز می کنند ، برنامه های مخرب نصب شروع به نصب شدن می کنند. با استفاده از ابزارهای “کرک” نرم افزار ، مردم اغلب خطر نصب برنامه های مخرب را دارند. ظاهرا این ابزارها برای فعال سازی نرم افزارها استفاده می شود، اما اغلب باعث نصب ناخواسته ی بدافزارها و آلودگی های رایانه ای می گردند.

هشدارها جهت جلوگیری از ورود باج افزار Sodinokibi

 

تحقیقات نشان می دهد که مجرمان سایبری سوءاستفاده از آسیب پذیری Oracle WebLogic Server (CVE-2019-2725)  را برای تزریق آنها به بدافزارها از جمله GANDCRAB ، Sodinokibi ، و Miner های مختلف ، بات نت ها و غیره شروع کرده اند و خوشبختانه، Oracle  قبلاً وصله ی امنیتی ای را برای رفع این آسیب پذیری منتشر کرده است . بنابراین، اگر شما صاحب این نوع سرور هستید، فوراً وصله را بارگیری و نصب کنید.

مجرمان سایبری اخیراً یک نسخه به روز شده از باج افزار Sodinokibi را منتشر کرده اند که اکنون قادر به سوء استفاده از آسیب پذیری مؤلفه Win32k در ویندوز ۷ و برخی نسخه های ویندوز ۱۰ است. Sodinokibi از این آسیب پذیری برای افزایش امتیازات خود سوء استفاده می کند تا بتواند به سیستم حتی بیشتر آسیب برساند. همچنین لازم به ذکر است که Sodinokibi برای به خطر انداختن داده از چندین رمزگذاری استفاده می کند. این کار نه تنها فایلها را رمزگذاری می کند، بلکه کلید خصوصی (که برای بازیابی اطلاعات لازم است) نیز رمزگذاری می شود. به عبارت دیگر ، دو کلید برای رمزگشایی لازم است.

مجرمان سایبری توزیع باج افزار Sodinokibi را از طریق وب سایت های قانونی )ربوده شده) وردپرس آغاز کرده اند. آنها سایتهای مشروع را با JavaScript تزریق می کنند که محتوای اصلی وب سایت را با یک پست انجمن Q&A جعلی تغییر می دهد که به طور معمول به محتوای واقعی وب سایت مرتبط است. این پست حاوی یک پاسخ جعلی از طرف مدیر سایت است و جواب شامل پیوندی به نصب Sodinokibi است.

مترجم : مهیار ذوالفقاری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *