بد رابیت باج افزار جدیدی که باید مراقب حملاتش باشید!

“بد رابیت” یا همان “خرگوش بد” باج‌افزار جدیدی است که به‌سرعت در سراسر جهان در حال گسترش است، به همان سرعتی که تکنولوژی در حال پیشرفت است.

طبق گفته‌ها این باج‌افزار از جهات مختلفی به‌نوعی باج‌افزار به اسم non-Petya/Petya  شباهت دارد و در حال حاضر در سازمان‌های عمده‌ای چون اوکراین، روسیه، ترکیه و بلغارستان باعث رکود شدید بازار کار شده است.

 

تفاوت حملات “بد رابیت” با دیگر باج‌افزارها این است که اطلاعات جمع‌آوری‌شده را ذخیره کرده و ظاهراً از آن‌ها برای انتشار در شبکه‌های داخلی سوءاستفاده می‌کند. که این موضوع باعث قدرتمندتر شدن باج‌افزار “بد رابیت” نسبت به باج‌افزارهای پیشینی مثل (non-Petya/WannaCry) شده است.

• چگونه باج‌افزار “بد رابیت” گسترش می‌یابد:

این آسیب از طریق یک آپدیت جعلی برای Adobe Flash Player و بر روی رایانه‌های قربانیان با فایلی تحت عنوان “install_flash_update.exe” وارد می‌شود؛ سپس در درایو “C:\windows\infpub.dat” کپی می‌شود و تلاش می‌کند فایل DLL را در “rundll32” اجرا کند. این حمله را می‌توان نوعی از حملات فراگیر(brute-force) دانست، به این صورت که هکرهای مخرب شروع به راه‌اندازی شبکه‌ای محلی برای گسترش باج‌افزار در کامپیوتر قربانیان می‌کنند. برای رسیدن به این هدف، معمولاً از ترکیب نام کاربری و رمز عبور استفاده می‌کنند و تا رسیدن به رمز عبور صحیح تلاش می‌کنند.

پس‌ از آن، برنامه‌ مجاز “رمزگشای دیسک” (DiskCrypton) از لینک http://diskcryptor.Net دانلود می‌شود و به‌عنوان یک ابزار رمزگشایی فایل بر روی کامپیوتر قربانی مورداستفاده قرار می‌گیرد.

این فایل‌ها با کلید رمزگشایی AES رمزگذاری خواهند شد و کلید رمزگشایی (AES) با کلید عمومی RSA-2048 جا سازشده  و رمزگشایی می‌شود.

Bleeping Computer (یک سایت کمک به کامپیوتر است) گفت: “در حال حاضر نمی‌دانیم رمزگشایی نهایی در کجا ذخیره‌ می‌شود، اما می‌تواند به فایل‌های رمزگشایی‌شده، منتقل شود.”

وقتی باج افزار خرگوش بد فایلها را رمزگذاری می‌کند هیچ‌گونه پسوند جدیدی به نام فایلی که رمزگذاری کرده اضافه نمی کند. درعوض کلمه encrypted را به انتهای هر فایل رمزگذاری شده اضافه می‌نماید.

به‌منظور کاهش خطر آسیب از طریق باج‌افزار “بد رابیت”، توصیه می‌کنیم از ایجاد فایل‌های زیر در ویندوز خود جلوگیری کنید:

C: \ windows \ infpub.dat
C: \ Windows \ cscc.dat

علاوه بر این، باج‌افزار “بد رابیت” کارهای برنامه‌ریزی ‌شده‌ای‌ را در پنجره‌ Task manager ایجاد می‌کند. بانام‌های: Drogon، Rhaegal، و Viserion، یعنی نام سه اژدها در سریال تلویزیونی Game of Thrones.

در اینجا چگونگی این کار نمایش داده‌شده است:

1. این باج‌افزار تلاش می‌کند تمام فایل‌های با فرمت زیر را رمزگشایی کند: 3ds، 7z، accdb، ai، asm، asp، aspx، avhd، back، back، bmp، brw، c، cab، cc، cer، cfg، conf، cpp، crt، cs، ctl، cxx، dbf، dib، disk، djvu، doc، dwg، eml، fdb، gz، hd، hdd، hpp، hxx، iso، java، jif jpe jpeg jpg js kdbx، key، mail، mdb ، msg, no.
2. سپس کامپیوتر را قفل می‌کند و به‌این‌ترتیب، قربانیان هیچ فرصتی برای دسترسی به داده‌های خود تا زمان پرداخت جریمه ندارند. وقتی کار تمام شد، پیام زیر ظاهر می‌شود:

هکرهای پشت این حمله، 0/05 بیت کوین را به‌عنوان باج درخواست می‌کنند که معادل حدود 280 دلار است.

• به‌روزرسانی 6 نوامبر 2017

باج‌افزار “بد رابیت” یک حمله‌ سایبری دیگر را که در اوکراین رخ‌داده بود مخفی کرد. Serhiy Demedyuk، رئیس پلیس سایبری دولت اوکراین، به خبرگزاری رویترز گفت: چندین نهاد اوکراینی توسط کمپین‌های فیشینگ در همان زمانی که بد رابیت‌ها به‌طور گسترده پخش می‌شدند، مورد هدف قرار گرفتند.

(Phishing: به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وب‌سایت، آدرس ایمیل و… گفته می‌شود.)

هدف اصلی این کمپین‌های فیشینگ دسترسی به اطلاعات مالی و سایر اطلاعات حساس بود.

Demedyuk گفت: در طول این حملات، ما بارها و بارها حملات خاموش و قوی‌تری را شناسایی کردیم که هدف آن‌ها کسب اطلاعات مالی و محرمانه بود.

• به‌روزرسانی 30 اکتبر 2017

محققان Cisco Talos اطلاعات جدیدی در مورد شیوع باج‌افزار “بد رابیت” کشف کردند؛ آن‌ها متوجه شدند که مجرمان سایبری بهره‌برداری از EternalRomance را برای تبلیغ در شبکه، استفاده می‌کنند. همچنین دریافتند که باج‌افزار “بد رابیت” از یک نسخه‌ اصلاح‌شده‌ NSA ( آژانس امنیت ملی ) برای انتشار ویروس استفاده می‌کند.

محققان آزمایشگاه Kaspersky که نمونه‌ای از این تهدیدات را مورد تجزیه‌ و تحلیل قرار داده‌ بودند اخبار خوبی در این زمینه منتشر کردند،با اشاره به این موضوع که معایبی را در نحوه‌ عملکرد آنلاین هکرها پیداکرده‌اند و دریافتند که برخی از فایل‌های رمزگذاری شده‌ کاربران توسط “بد رابیت” می‌توانند با به‌کارگیری یک روش فنی ازجمله کلید AES بازیابی شوند.

برخلاف باج‌افزار petya، “بد رابیت” مانند بدافزار wiper(پاک‌کن) مخرب نیست. درواقع اطلاعات را روی هارددیسک کامپیوتر رمزگذاری می‌کند و بوت لودر را با جایگزینی (MBR (Master Boot Record اصلاح می‌کند.

یادداشت‌هایی که برای گرفتن باج توسط این باج‌افزار به‌ جا مانده، شبیه به مواردی است که برای هک‌هایی غیر از روش  Petya مورداستفاده قرارگرفته است.

(wiper: یک طبقه از بدافزارهاست که قصد پاک کردن اطلاعات موجود در رایانه‌ آلوده را دارد.)

علاوه بر این از روش‌های متفاوتی مانند Mimikatz (برای استخراج اعتبار از حافظه‌ کامپیوتر محلی)،SMB و WebDav گسترش می‌یابد.

(Mimikatz: ابزاری برای استخراج اعتبارنامه‌های ویندوز)

در حال حاضر شواهدی دال بر استفاده از اترنال‌بلو (EternalBlue) در “بد رابیت” برای گسترش ویروس وجود ندارند. (اترنال‌بلو یک اکسپلویت است که عموماً توسط ایالات‌متحده‌ آمریکا توسعه‌یافته است.)

Martin Lee، سرپرست فنی تحقیقات امنیتی Talos، گفت:

در حال حاضر، توزیع “بد رابیت” از طریق تبلیغات آنلاین مخرب (malvertise) یا تزریق کد (script injection) انجام می‌شود و بیشتر این یافته‌ها در وب‌سایت‌های محبوب روسیه و اوکراین گزارش‌شده‌اند. محققان ESET همچنین اظهار داشتند که کامپیوترهایی در ترکیه، بلغارستان و سایر کشورها از این طریق، آسیب‌دیده‌اند.

(script injection: یک روش تزریق کد به کامپیوتر است که از طریق پردازش داده‌های نامعتبر انجام می‌شود.)

VirusTotal نشان داد 55 مورد از 66 مورد اسکن توسط آنتی‌ویروس، این نوع بدافزار را تشخیص داده‌اند.

• چه کسی آسیب‌دیده است؟

خبر بد این است که این باج‌افزار به‌سرعت گسترش می‌یابد و (در حال حاضر) باعث تحمیل خسارات زیادی شده است. اکثر مراکز تحت این نوع از حملات در روسیه با گسترش و توزیع 65٪ ویروس، سازمان حمل‌ونقل اوکراین، ازجمله مترو Kiev، فرودگاه Odessa، و نیز برخی از سازمان‌های دولتی و شرکت‌های خصوصی، واقع‌شده‌اند.

حملات مشابهی در کشورهای اوکراین، ترکیه، آلمان، بلغارستان، لهستان، رومانی و ایالات‌متحده نیز دیده شده است. در اینجا یک نقشه از حملات “بد رابیت” و میزان آلودگی جهانی به این باج‌افزار آمده است.

• راهنمای حفاظت در برابر حملات باج‌افزارها

ممکن است این سناریو یک کابوس باشد، اما شما وحشت نکنید، آرام باشید و فعالانه تمام اقدامات مورد نیاز برای محافظت از اطلاعات مهم خود را انجام دهید:

محقق امنیتی” Amit Serper” راهی ساده برای جلوگیری از توزیع “بد رابیت” و انتقال به کامپیوتر شما پیدا کرد. فایل‌های زیر را در ویندوز ایجاد کنید:  c: \ windows \ infpub.dat & c: \ windows \ cscc.dat و ALL PERMISSIONS را حذف کنید.

اگر شما یکی از قربانیان این حمله‌ باج‌افزاری هستید، ما به شما توصیه می‌کنیم که به هیچ‌وجه باجی را پرداخت نکنید. در این لحظه، هیچ گزارشی برای بازگشایی فایل‌های قفل‌شده توسط “بد رابیت” ارائه نشده است. با این‌ وجود، ابزارهای رمزگشایی وجود دارند که می‌توانید از آن‌ها استفاده کنید. همچنین، یک چک‌لیست ضد باج‌افزار هم در این زمینه می‌تواند بسیار کمک‌کننده باشد.

ما به کاربران در برابر حمله‌ “بد رابیت”راهنمای زیر را پیشنهاد می‌کنیم:

• ویندوز خود و یا هر سیستم‌عامل دیگر نصب‌شده بر روی کامپیوترتان را به‌روزرسانی کنید. بسیار مهم است که آخرین نسخه‌های به‌روز شده را برای تمام برنامه‌های خود نصب کنید.
• داده‌های مهم خود را صرفاً بر روی رایانه ذخیره نکنید و حداقل 2 نسخه‌ پشتیبان از اطلاعات باارزش خود در منابع خارجی مانند دیسک یا در (Google Drive، Dropbox، و غیره) تهیه کنید.
• سعی کنید هرروز از حساب کاربری مدیر، استفاده نکنید و به یاد داشته باشید که ماکروها را دربسته‌ مایکروسافت آفیس غیرفعال کرده باشید.
• اسپم یا ایمیل‌هایی را که از منابع نامشخصی هستند و می‌توانند سیستم شما را آلوده کنند، دانلود نکنید. علاوه بر این، روی پیوندهای مشکوک کلیک نکنید.
• از به‌روز بودن آنتی‌ویروس خود و همین‌طور فعال بودن برنامه‌ ضد بدافزار اطمینان حاصل کنید.
• هنگام ورود به ایمیل یا حساب‌های اجتماعی، همیشه باید از سیستم‌های احراز هویت دومرحله‌ای برای امنیت بیشتر استفاده کنید.
  

  این طرز تفکر که “این اتفاق برای من رخ نمی‌دهد” دیگر کار نمی‌کند و آموزش مسائل مربوط به امنیت باید در اولویت باشد. آموزش امنیت سایبری ضروری است و هر کس باید حداقل دانش امنیتی سایبری را داشته باشد تا بتوانند خوب را از بد تشخیص داده و در محیط مجازی و آنلاین امنیت داشته باشد.