این کمپین باج افزاری، از بدافزاری مخفی برای رمزنگاری فایل‌ها استفاده می‌کند. کمپین باج افزار کنونی آسیب جدی‌ای به قربانیانش وارد می‌کند، زیرا که نرخ موفقیت بالایی از نظر سیستم‌های آلوده دارد.

استفاده از بدافزار برای ایجاد آلودگی

مجرمین سایبری در این کمپین، سایت‌های بی‌خطر و سالم را به‌وسیله تزریق اسکریپت‌های مخرب، هدف می‌گیرند. سپس این تزریق‌ها سبب ارسال ترافیک اینترنت قربانیان به سرور “سربر” می‌شود که به “سودو دارک‌لیچ” (Pseudo Darkleech) معروف است. “سودو دارک لیچ” نوعی آلودگی بدافزاری است که نوعی لایه پوششی را اضافه می‌کند که نرخ تشخیص را پایین نگه می‌دارد.

اسکریپت مخرب، که به این سایت‌ها تزریق شده است، “نموکد” (Nemocod) معروف و بدنام است. دانلودکننده بدافزاری که برای انتقال نرم‌افزار مخرب به کامپیوترهای قربانیان استفاده می‌شود.

در این حالت، نموکد در زمان اجرا جهت دانلود و اجرای باج افزار سربر از دو وب‌سایت استفاده می‌کند: (آدرس‌ها برای امنیت شما سانسور شده‌اند.)

doomgamesoa [.] Top / read.php? F = 0.dat

http: //www.astrosean [.] Top / admin.php? F = 1.dat

 

حمله‌کنندگان از آسیب‌پذیری‌های موجود در اینترنت اکسپلورر (Internet Explorer)، مایکروسافت اج (Microsoft Edge)، فلش پلیر (Flash Player) و سیلور لایت (Silverlight) استفاده می‌کنند تا کامپیوتر قربانیان را آلوده سازند. هنوز وسعت این باگ‌ها در حال مطالعه است و به‌محض اینکه جزئیات بیشتری آشکار شد، ما این اخطار را آپدیت می‌کنیم.

اخاذی حمله باج افزار در مرکز دامنه‌های (آدرس‌های) زیر صورت می‌گیرد، (آدرس‌ها برای امنیت شما سانسور شده‌اند.):

fnmi62725zfti2vy.17vj7b [.] top

ftoxmpdipwobp4qy.17vj7b [.] top

pe2cku7pebkpgeko.17vj7b [.] top

avsxrcoq2q5fgrw2.1bpfr1 [.] top

ffoqr3ug7m726zou.1bpfr1 [.] top

fnmi62725zfti2vy.1bpfr1 [.] top

ftoxmpdipwobp4qy.1bpfr1 [.] top

pe2cku7pebkpgeko.1bpfr1 [.] top

avsxrcoq2q5fgrw2.1mstqg [.] top

cerberhhyed5frqa.1mstqg [.] top

ffoqr3ug7m726zou.1mstqg [.] top

fnmi62725zfti2vy.1mstqg [.] top

ftoxmpdipwobp4qy.1mstqg [.] top

fnmi62725zfti2vy.17vj7b [.] top

ftoxmpdipwobp4qy.17vj7b [.] top

pe2cku7pebkpgeko.17vj7b [.] top

avsxrcoq2q5fgrw2.1bpfr1 [.] top

ffoqr3ug7m726zou.1bpfr1 [.] top

fnmi62725zfti2vy.1bpfr1 [.] top

ftoxmpdipwobp4qy.1bpfr1 [.] top

pe2cku7pebkpgeko.1bpfr1 [.] top

avsxrcoq2q5fgrw2.1mstqg [.] top

cerberhhyed5frqa.1mstqg [.] top

ffoqr3ug7m726zou.1mstqg [.] top

fnmi62725zfti2vy.1mstqg [.] top

ftoxmpdipwobp4qy.1mstqg [.] top

از نظر تشخیص به‌وسیله آنتی‌ویروس‌ها

در اینجا تصاویری هستند که در هنگام انتشار این هشدارها گرفته شده‌اند:

محتویات این بدافزار مخرب که “سربر” را دانلود می‌کند، نرخ کشفی برابر با 3/55 در VirusTotal دارد.

کد “سربر” نرخ تشخیص برابر با 5/57 در VirusTotal دارد:

لطفاً در نظر بگیرید که این کمپین باج افزار بر روی کاربران اینترنتی و کمپانی‌ها تأثیر می‌گذارد. اخیراً، سربر در حال هدف گیری پایگاه داده شرکت‌ها است تا بتواند بیشترین سود را از باج‌گیری بدست آورد، بنابراین دلیلی دیگر برای رعایت کردن اقدامات احتیاطی همین موضوع است.

چرا حمله‌کنندگان چندین نوع بدافزار را با هم ترکیب می‌کنند

ممکن است با خود فکر کنید که چرا هکرهای سایبری از چندین نوع بدافزار در یک حمله استفاده می‌کنند. جواب این است که از طریق چندین نوع نرم‌افزار مخرب، دو هدف دارند:

1. آلودگی را پنهان کنند، بنابراین قادر به مشاهده و کنترل به‌وسیله آنتی‌ویروس نخواهند بود (که بیشتر مردم از آنتی‌ویروس برای حفاظت استفاده می‌کنند).
2. تا بتوانند آلودگی را دائمی کنند، تا زمانی که بتواند تمام داده‌های قربانی را رمزنگاری نمایند و به نقطه‌ای برسند که درخواست باج کنند و قربانی احساس اجبار برای پرداخت آن بکند.

دومین نسل بدافزارهای باج‌گیر قوی (مانند سربر)، از چندین مکانیزم مختلف برای جلوگیری از دیده شدن به‌وسیله آنتی‌ویروس استفاده می‌کند. این روش‌ها برخی از نشانه‌هایی هستند که ما اغلب در حملات پیشرفته سایبری می‌بینیم.

حالا ببینیم که هر کدام از بخش‌های پازل چه کاری انجام می‌دهند:

نموکد (Nemucod)

اولین بار در سال 1394 به عنوان دانلود کننده تروجان مورد استفاده قرار گرفت. این خطر سایبری می‌تواند برنامه‌های دیگر را دانلود و نصب کند (خصوصاً بدافزار) بدون اینکه صاحب کامپیوتر چیزی متوجه شود.

“نموکد” می‌تواند به یک میزبان دوردست (remote host: سرور یا کامپیوتر شخصی) وصل شود و اقداماتی زیر را انجام دهد:

• بررسی ارتباط اینترنتی
• استفاده از آن ارتباط اینترنتی برای دانلود و اجرا کردن فایل (شامل بقیه بدافزارها نیز می‌شود)
• آلودگی را به بقیه مجرمین که در پشت حمله هستند گزارش می‌دهند.
• داده‌هایی مثل پیکربندی، دستورالعمل‌ها و… را دریافت می‌کند.
• اطلاعاتی که از کامپیوتر آلوده بدست آمده است را آپلود می‌کند.

این دانلود کننده بدافزار اخیراً هنگامی‌که به عنوان اسپم IM‌ها (یعنی پیام‌های اسپم) در پیام‌رسان فیس‌بوک به کار گرفته شد تا باج افزار فوق را پخش کند، توجه زیادی را به خودش جلب کرده است.

سودو دارک‌لیچ (Psuedo Darkleech)

سودو دارک‌لیچ؛ شامل کیت RIG Exploit است که باج افزار کریپ‌میک (CrypMIC) را توزیع می‌کند (تاکنون هیچ ابزاری برای رمزگشایی آن پیدا نشده است.)

این‌گونه آلودگی از تزریق iframe پنهان (hidden iframe injection) استفاده می‌کند تا بدافزار را برای عملیات به‌صورت مخفیانه فعال کند. این پست وبلاگ Sucury Security سیر تکاملی‌اش را با جزئیات بیان می‌کند.

باج افزار سربر (Cerber)

سربر در اسفندماه 1394 کشف شد که ویژگی‌های متمایزش نشان داد که به‌صورت حرفه‌ای برنامه‌نویسی شده است و مقادیر شخصی‌سازی زیادی را فراهم می‌کند. از اولین آنالیزهای این کد، مشخص شد که این بدافزار رمزنگاری کار آماتورها نبوده است.

از آنجایی که برای اولین بار کشف شد، سربر تأثیر زیادی روی قربانیانش در سراسر جهان داشت. در پست سیمنتک (Symantech) به نام “گزارش مخصوص ISTR: باج افزار و کسب کارهای 2016” تیم محققین میگویند:

“مانند قفل کننده‌ها، به نظر می‌رسد که سربر دسترسی به شبکه اسپمی Dridex (شبکه‌ای که بدافزارهای دزدی اطلاعات بانک دارد، به‌طور کلی Dridex بدافزاری برای این اقدام است.) دارد، به این معنی که می‌تواند به سرعت به کمپین‌های بزرگ اسپم تبدیل شود.”

قربانیانی که داده‌هایشان با سربر رمزنگاری شده بود، معمولاً مقادیری به میزان 1‌.24 بیت کوین (bitcoins یا BTC) تا 2.48 بیت کوین (5.200 تا 10.300 یلیون تومان تا آذرماه 1395) از آن‌ها اخاذی می‌شد.

این سه المنت با هم می‌توانند حملات سنگینی علیه کاربران اینترنتی ترتیب دهند.

توصیه‌هایی مهم برای حفاظت

باج افزار تهدیدی خطرناک است که چندین بار درباره آن نوشته‌ایم و در این بخش سعی کرده‌ایم که پیچیدگی‌هایش را کاهش دهیم. در حالی که ابزارهای رمزگشایی زیادی برای برخی از انواع باج افزار ها موجود است، اما بیشتر آن‌ها غیر قابل بازگشایی هستند.

برای جلوگیری از تبدیل شدن به قربانی باج افزار‌ها، 5 گام زیر را انجام دهید:

گام نخست

نرم‌افزارتان را به‌روز نگه دارید. از آنجایی که در کمپین کنونی (به مانند بقیه کمپین‌ها)، به‌روز نگه داشتن نرم‌افزارها لایه قوی‌ای برای دفاع است، مرورگرها و نرم‌افزارهای شما مثل فلش و جاوا هدف اصلی برای مجرمین مجازی هستند. آپدیت نکردن آن‌ها سبب باقی ماندن حفره‌های امنیتی می‌شود که حمله‌کنندگان می‌توانند به کمک آن‌ها سیستم را آلوده سازند. نصب آپدیت‌ها باعث نگهداری قدرتمند سپر شما می‌شود و هیچ شانسی به باج افزارها برای آلوده سازی نمی‌دهد.

گام دوم

حداقل دو بکاپ (backup) از داده‌ها بسازید و در چند ناحیه نگهداری کنید، (فضای ابری، درایو خارجی). اگر به‌وسیله باج افزارها و دیگر بدافزار هدف گرفته شدید، به‌راحتی می‌توانید کامپیوترتان را پاک‌سازی کنید و بکاپ را برگردانید. اگر باج پرداخت نشود، انگیزه‌ای برای دیگر مجرمین سایبری برای فعالیت‌های مخربشان وجود نخواهد داشت. این یک “پلن بی” (plan B) الزامی است.

گام سوم

مراحل حفاظتی مرورگرتان را افزایش دهید. بسیاری از حمله‌کنندگان سایبری از آسیب‌پذیری‌های موجود در مرورگر استفاده می‌کنند. اگر نمی‌دانید از کجا شروع کنید، راهنمای ما را مطالعه کنید.

از آنتی‌ویروس قابل‌اطمینان استفاده کنید. آنتی‌ویروس قادر نخواهد بود که همه تهدیدات را کنترل کند، اما اگر صادق باشیم، هیچ محصول امنیتی‌ای قادر به این کار نخواهد بود.

گام چهارم

امنیت انفعالی را با امنیت غیر انفعالی کامل کنید (در امنیت انفعالی، ابتدا ویروس پخش می‌شود و بعد از آن شناسایی می‌شود اما غیر انفعالی قبل از پخش ویروس اقدام به حذف آن می‌کند). لایه‌های امنیتی بیشتر، شانس بیشتری برای مقاومت در برابر باج افزارها خواهند داشت. به این معنی نیست که از چندین آنتی‌ویروس استفاده کنید (پیشنهاد نمی‌شود)، اما از محصولاتی استفاده کنید که عملیات را کامل می‌کند. می‌توانید از راه‌حل‌هایی استفاده کنید که بخش‌بندی ترافیک دارند و ارتباطات به وب‌سایت‌ها و سرورهایی که بدافزار توزیع می‌کنند را بلاک کند، مانند گزینه‌هایی که در این اخطار امنیتی ارائه شد.

اگر می‌خواهید حفاظت بیشتری داشته باشید (که امیدوارم همین‌گونه باشد)، این گام‌ها برای حفاظت دربرابر باج افزار ها می‌تواند به شما کمک کند.