پادشاه باجگيرهاي اينترنتي "Cryptowall"
پادشاه باجگيرهاي اينترنتي "Cryptowall"



افزايش بدافزارهاي باجگير نسبت به سالهاي گذشته با افزايش چشمگيري روبرو شده است و وقت آن رسيده که براي جلوگيري از نفوذ اينگونه بدافزارهاي مخرب تصميم جدي گرفته شود.

بر اساس اعلام شرکت پاندا سکيوريتي نسلهاي جديدتر و نسخههاي پيشرفته‌تر بدافزارهاي باج گير، موسوم برCryptoDefense، در اواخر ماه مارس 2014 کشف شد.اما اين ويروس فوق العاده خطرناک به علت اشتباه نويسندگانش که فراموش کرده بودند کليد رمزگشايي آن را از محتويات پرونده هاي آلوده حذف کنند با شکست مواجه شد.

بعد از آن، نوبت به Cryptowall يک بدافزار باجگير تکامل يافته رسيد. در واقع، اين بدافزار، براي جبران شکست نسخه قبلي خود توليد شده تا با تکنيکها و روش هاي نوين، از سد برنامه‌هاي امنيتي عبور کند.

درباره CryptoWall

درست مثل CryptoDefence اين کد مخرب هم مي تواند با کليدهاي پيشرفته رمزنگاري، اطلاعات قرباني را طوري قفل کند که ديگر به هيچ عنوان قابل بازيابي نباشند. بعد از رمزگذاري، اين ويروس به قرباني اطلاع مي دهد که فقط در ازاي پرداخت باجهاي سنگين، دسترسي وي به فايلهاي کد شده را مقدور مي سازد.

بررسيهاي پاندا، لابراتوار شناسايي و تحليل بدافزارها، نشان مي دهد که برخلاف بعضي از بدافزارهاي باجگير که در مواردي پس از دريافت باج، فايلهاي رمزگذاري شده را به حالت اوليه بازميگردانند، Cryptowall پس از قفل گذاري روي فايلها، به هيچ عنوان اجازه دسترسي دوباره را به قرباني نخواهد داد!

زماني که اين بدافزار روي سيستم هدف نصب شود، ابتدا فايل هاي روي حافظه را به دقت بررسي کرده و سپس آنها را با استفاده از روشهاي کاملاً ابتکاري، رمزگذاري مي کند.به همين منظور، پوشه‌ها و فايل هاي جديدي هم نام با پوشه‌ها و فايلهاي ذخيره شده در سيستم ساخته و فايل هاي قلابي را جايگزين فايلهاي اصلي مي کند.

در مرحله دوم، اين ويروس فايلهاي جديدي با نام‌ DECRYPT_INSTRUCTION.TXT و ECRYPT_INSTRUCTION.HTML

را بر روي هر يک از پوشه هاي آلوده ايجاد کرده و با دستورالعملهاي تعريف شده بمنظور باجگيري، قرباني را با تهديدهاي گوناگون روبرو ساخته و از او اخاذي مي کند!

کريپتو وال با استفاده ازفايل htmlايجاد شده، به سرور ميزبان خود متصل شده و قرباني را به صفحه "خدمات رمز گشايي" فايلهاي قفل شده مي کشاند و با وعده‌هاي دروغين، کاربر را تشويق به پرداخت باجهاي سنگين تر مي کند. فايل متني ايجاد شده نيز، شامل دستورالعملهاي مختلف درباره نحوه پرداخت پول و مراتب بازگشايي فايلهاي نابود شده است.

به محض اينکه اين بدافزار اجرا شود، بخش هايي از فايل منبع بدافزار که با سرور ميزبان ويروس Command & Control ارتباط دارند، عمليات رمزنگاري دستگاه را فعال کرده و هر گونه قابليت رهگيري و رديابي در سيستم را غيرفعال ميکنند.

فايلهاي مخرب ويروس کريپتو وال در ابتدا به شکل بسته‌هاي فشرده هستند که بايد حتماً براي شروع فرايندهاي تخريبي باز شوند.
به اين منظور ويروس کريپتو وال، با استفاده از قابليت اجراي خودکار، مي تواند نمونه ديگري از فايل اجرايي خود را ايجاد کرده و آنها را به صورت برنامه‌هاي اجرايي قابل انتقال (File Portable Executive) به سيستم تزريق کند. اين نمونه‌هاي جديد، درواقع قالب باز شده از فايل فشرده اصلي هستند. اين فايلهاي جديد، مي توانند در هر بخشي از سيستم که باشند اجرا شده و هيچگونه وابستگي به محلي خاص براي انجام عمليات تخريبي خود ندارند.

در طول اجراي خودکار اين فايلها، اولين کاري که صورت مي گيرد ايجاد يک نمونه جديد از پردازش مهم Explorer.EXE است که در آن عمليات تزريق کدهاي مخرب، دوباره انجام گرفته و کريپتو وال به ادامه عمليات تخريبي باقي مانده مي پردازد.

بعد از آن، پردازشي به نام vssadmin بمنظور غيرفعال کردن قابليت رديابي و شناسايي نرم افزارهاي امنيتي، اجرا خواهد شد:

با اين مشخصات: vssadmin.exe Delete Shadows /All /Quiet

هم چنين ويروس کريپتو وال، در مرحله بعدي، يک نمونه جديد از پردازش svchost.EXE با پارامترهاي زير ايجاد خواهد کرد:

با اين مشخصات: svchost.exe -k netsvcs

کمي بعد، اين ويروس باهوش، فايل اصلي خود را از روي حافظه سيستم قرباني حذف و ادامه عمليات تخريبي خود را از طريق svchost.EXE اصليپي خواهد گرفت.

با استفاده از پردازشsvchost.EXE که حالا آلوده شده است، کريپتو وال تلاش مي کند تا با سرور مرکزي خود ارتباط بگيرد. نکته مهم اين که اين بدافزار تا هنگامي که به سرور ميزبان خود متصل نشود، قادر به رمزنگاري فايل ها نخواهد بود.

دامنه‌هاي زير، بخشي از فهرست مراکزي ست که نرم افزار مخرب کريپتووال بايد براي دريافت دستورات جديد و انجام عمليات رمزگذاري به يکي از آنهامتصل شود:

دامنه onewsbrontima.com

دامنه oyaroshwelcome.com

دامنه ogranatebit.com

دامنه oteromasla.com

دامنه orearbeab.com

پس از اتصال به يکي از اين دامنه ها، بدافزار درخواست کليد عمومي رمزنگاري مي کند. اين همان روش جديد درمقايسه با نسخه قبلي خود است و به همين دليل است که کارشناسان امنيتي براين باورند که پاکسازي و ترميم سيستم هاي آلوده شده به کريپتو وال در مقايسه با نمونه هاي قديمي، بسيار سختتر است.

بدافزارهاي باج گير قديمي مانند کريپتو ديفنس،از يک جفت کليد رمزنگاري توليد شده از طريق ابزارهايي به نامCryptoAPI’s CryptGenKey استفاده مي کردند در صورتيکه کريپتو وال، کليدهاي رمزنگاري عمومي را از سرورهاي به روز و مبتني بر اينترنت دريافت ميکند.

سپس کليدهاي رمزنگاري عمومي را از طريق ابزارCryptImportPublicKeyInfo وارد کرده و با استفاده از CryptEncrypt فايل هاي قرباني را کدگذاري خواهد کرد.

عمليات رمزنگاري روي فايلها از طريق خوانده شدن حداکثر0XF5 بايت از فايلهاي مورد نظر صورت ميگيرد.
به اين شکل که فايلهاي اصلي کاربر ابتدا توسط CryptEncrypt رمزگذاري شده و به اندازه 0X100 بايت برروي شکل رمزگزاري شده آن فايل افزوده مي گردد.

فايل نهايي که اکنون رمزگذاري شده، يک فايل هم نام با فايل اصلي، با يک پسوند تصادفي است.

در انتها ضربه نهايي وارد مي شود. به اين شکل که فايلهاي اصلي سيستم قرباني، به طور کامل از روي حافظه پاک شده و فايل رمزگذاري شده را جايگزين فايل اصلي مي کند.

اين فرآيند تکرار شونده تا زماني ادامه پيدا ميکند که بخش عظيمي از مطالب و فايلهاي سيستم آلوده شده رمزگذاري شود، بعد از اتمام عمليات کدگذاري، کريپتو وال يک کد شناسايي اختصاصي 12 بايتي براي سيستم قرباني توليد ميکند.

در اين نسخه ارتقاء يافته از بدافزارهاي باجگير، کليدهاي خصوصي رمزنگاري 2048 بيتي که روي سرور C&C باقي مانده اند، عامل اصلي در غير ممکن ساختن بازيافت دوباره فايل هاي نابود شده هستند.

براي پاکسازي سيستم هاي آلوده مي توانيد

1- کل سيستم را با نسخه تجاري و به روز يک ضدويروس معتبر اسکن کنيد.

2- کل سيستم را با استفاده از يک اسکنر حرفه اي به صورت رايگان اسکن کنيد.

3- درصورتي که هنوز از پاکسازي سيستم مطمئن نيستيد، از نسخه به روز نرم افزارهاي Bootable Antivirus استفاده کنيد.

البته اميدواريم که حتماً يک نسخه پشتيبان از اطلاعات مهم خود تهيه کرده باشيد؛ چون متأسفانه اگر سيستم شما به ويروسهاي باجگير آلوده شود؛ حتي در صورت پاکسازي سيستم، امکان بازيابي فايلها و اطلاعات رمزگذاري شده، نزديک به صفر خواهد بود. بنابراين موارد زير را براي پيشگيري از نفوذ ويروس هاي باج گير به سيستم رعايت کنيد.

1- مطلقاً از قانون "روي هر لينکي کليک کن!" و يا "هر چيزي رو دانلود کن!" پيروي نکنيد.

2- هر از چندگاهي "فايل هاي موقت" اينترنتي و يا نرم افزاري سيستم (Temporary Files)را به طور کامل پاک کنيد.

3- در بازکردن ايميل هاي ناشناس و فايلهاي ضميمه آن ها دقت به خرج دهيد.

4- مراقب پيغام هايي که در اينترنت به صورت ناگهاني براي شما نمايش داده مي شوند باشيد.

5- ضدويروس و فايروال سيستم را به صورت دائم بروز نگاه داريد.

6- مراقب باشيد ... حافظه‌هاي جانبي مانند فلش ديسکها، پخش کننده هاي موسيقي و .. مي توانند حامل ويروس هاي خطرناک باشند.

7- و مهمتر ازهمه بک آپ دوره اي را فراموش نکنيد!


نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:






موضوعات مرتبط: فناوری ، دفاعی ، ،
برچسب‌ها:

تاريخ : پنج شنبه 12 تير 1393برچسب:,
| 9:22 | نویسنده : valeh |
.: Weblog Themes By BlackSkin :.