اخبار پیرامون باج افزار Teslacrypt توجه عموم افراد را به خود جلب نموده و سوالاتی را نیز در این خصوص به وجود آورده است.
بنابراین از بهترین کسی که می تواند به این سوالات پاسخ دهد، Igor Kabina ، محقق بدافزاری ESET و اولین کسی که متوجه تغییراتی پیرامون باج افزار teslacrypt شد و در نهایت ابزار رمز گشایی جهانی Teslacrypt را منتشر ساخت، کمک گرفتیم تا به برخی از این پرسش ها پاسخ دهد.
با رها شدن کاربران اینترنتی از شر این باج افزار و امکان استفاده از مزیت های کلید رمزگشایی برای قربانیان ، Teslacrypt با خرسندی به پایان خود رسید. اما کسی که در این میان نقشی کلیدی ایفا کرد شما بودید، درست است؟
من از اپراتور های Teslacrypt خواستم تا کلید رمزگشایی را برای آخرین نسخه ی Teslacrypt غیر قابل رمز گشایی منتشر سازند و آنها نیز آن را برای عموم منتشر ساختند. با داشتن این کلید به سرعت شروع به ساخت ابزاری کردم که به کمک آن همه ی قربانیان بتوانند به راحتی فایل های خود را بازیابی کنند.
موضوع در مجموع ساده به نظر می رسد اما معمولا طراحان باج افزارها کلید رمزگشایی را منتشر نمی کنند.
بله، کلید های رمزگشایی به معنای واقعی کلمه برای کل باج افزارها “کلید” هستند. و همان چیزی است که اگر کسی قربانی چنین حملاتی شود و نسخه ی پشتیبان نیز از فایل های خود نداشته باشد، مجبور به پرداخت وجه درخواستی می شود. اگر شما هم قربانی یکی از این جرایم سایبری شوید و هیچ نوع آمادگی برای مقابله با آن نداشته باشید در شرایط سختی قرار خواهید گرفت.
اما همه ی ما اغلب در مورد کلید های رمزگشایی که به واسطه ی آن قربانیان می توانند فایل های خود را بازیابی کنند شنیده ایم.
بله، گاهی اوقات استفاده از رمزنگاری های ضعیف و یا اشتباهاتی در پیاده سازی باج افزار، کارشناسان امنیتی را موفق به رمزگشایی باج افزار می کنند. اما چنین راه حل هایی به علت وجود شکاف هایی در باج افزار به وجود می آید که مجرمان به سرعت سعی در برطرف کردن آن در نسخه های بعدی می کنند.
و این همان چیزی است که تفاوت ایجاد می کند. به لطف این کلید رمزگشایی من توانستم ابزاری را طراحی کنم که تعدادی از نسخه های اخیر Teslacrpyt را به طور همزمان رمزگشایی کند.
برگردیم به چگونگی به دست آوردن کلید رمزگشایی. ما متوجه شدیم که شما خیلی ساده از آنها درخواست کرده بودید که کلید رمزگشایی را در اختیارتان قرار دهند.آیا به همین سادگی بود؟
برای مدت زمانی طولانی، من مراقب باج افزار Teslacrypt بودم. شغل من همگام بودن با پیشرفت های باج افزارها است تا بتوانم کاربران ESET را ایمن نگاه دارم. نسخه های قبلی این باج افزار به دلیل Bug هایی که در داخل آنها وجود داشت، این امکان را میداد تا بتوان کلید رمزگشایی را طراحی کرد. متاسفانه نسخه ی آخر این باج افزار با الگوریتم حفاظتی ارتقا یافته ای طراحی شده بود که حقیقتا قدرتمند بود. با آگاهی از چگونگی چرخه ی عمر بدافزارها، انتظار من توسعه ی بیشتر Teslacrypt بود. اما چند هفته ی پیش متوجه شدم که این پیشرفت ها رو به افول رفته است. به نظرم رسید گروهی که این باج افزار را طراحی کرده اند به اتفاق آن را ترک کرده و به برند دیگر باج افزاری با نام CryptProjectXXX روی آورده اند.
27 آوریل 2016 آخرین نسخه ی این باج افزار منتشر گردید. بلافاصله پس از آن متوجه شدم که طراحان این باج افزار نسبت به نشر Teslacrypt تجدید نظر کرده و تمامی لینک های که از طریق آن این باج افزار منتشر شده بود را از بین می برند. بنابراین شانس خود را امتحان کردم و با تظاهر به اینکه یکی از قربانیان این باج افزار هستم از آنها خواهش کردم تا هر چهار کلید خصوصی از زمان انتشار Teslacrypt را در اختیار من قرار دهند. ظرف مدت یک روز به من جواب دادند اما فقط یکی از کلید ها را در اختیار من قرار دادند. من از آنها خواهش کردم که حداقل کلید جهانی آخرین نسخه را در اختیارم قرار دهند. یک روز و نیم بعد متوجه اعلان ” Project closed” که در صفحه ی Teslacrypt قرار گرفته بود، شدم. ابتدا باور نکردم که کلیدی منتشر شده باشد اما پس از اینکه کلید عمومی خود را امتحان کردم 100% مطمئن شدم که درست است.
سوالی که اینجا مطرح می شود این است که آیا مرسوم است محققان امنیتی با مجرمان سایبری ارتباط برقرار کنند؟
لازم است در اینجا این مسئله روشن شود که تمامی ارتباطات من با این مجرمان از طریق کانال رسمی که به منظور ارتباط با قربانیان تدارک دیده شده بود، صورت پذیرفت. از آنجا که من ناشناس بودم خود را به عنوان یکی از قربانیان این باج افزار معرفی کردم.
و حالا اجازه دهید به سوال شما پاسخ دهم: مرسوم نیست که محققان بدافزاری با مجرمان سایبری ارتباطی برقرار کنند اما در این مورد به خصوص ارزش آن را داشت.
این مجرمان در نهایت اظهار تاسف کرده اند این در حالی است که به تعداد زیادی از افراد آسیب هایی را وارد ساخته اند
درست همانند Cryptowall این مجرمان معتقد هستند که با اینکار نرم افزارهای امنیتی برای کمک به مردم مورد تست و آزمون قرار می گیرد! من به شدت مخالفم چراکه تنها هدف آنها اخاذی می باشد. طراحان Teslacrypt با اینکار نشان دادند که حداقل کمی ایمان دارند، چرا که کلید رمز گشایی این باج افزار را به صورت رایگان منتشر ساختند. گرچه اعمال مجرمانه ی آنها را توجیه نخواهد کرد.
نتیجه ی اخلاقی این داستان چیست؟ کاربران اینترنت چه باید بکنند؟
افراد می بایست طرز استفاده از اینترنت و حفاظت در برابر تهدیدات دنیای مجازی را فرا گرفته و نسبت به باز کردن فایل های پیوست و یا لینک های ناشناس جانب احتیاط را نگاه دارند.
مسلما به روز رسانی مرتب سیستم ها و برنامه های کاربردی در کنار استفاده از یک نرم افزار امنیتی قابل اعتماد ضروری می باشد. در کنار همه ی اینها تهیه ی نسخه ی پشتیبان نیز بسیار ضروری است.
شرکت های ارائه دهنده ی نرم افزارهای ضد ویروس تلاش خود را به کار می گیرند اما متاسفانه همیشه یک فاکتور انسانی نیز وجود دارد که مجرمان سایبری با مهندسی اجتماعی آن را هدف قرار می دهند. افراد لازم است بدانند که زمانی که توسط یک باج افزار مورد حمله قرار گرفتند، فقط فایل های آنها هدف قرار نگرفته است. مجرمان سایبری اهمیتی برای فایل ها قائل نیستند آنها تنها به پول فکر می کنند. می توانم درک کنم که در آن شرایط از دست دادن فایل ها بسیار سخت و ناگوار است اما ما همیشه توصیه کرده ایم که به هیچ وجه پولی بابت رمزگشایی فایل های رمزنگاری شده پرداخت نکنید. زمانی که مردم دست از پرداخت باج درخواستی بردارند دیگر هیچ باج افزاری نخواهیم داشت. مردم بایستی بدانند که آن بیرون افراد خوب زیادی وجود دارند که با تلاش بسیار در پی این هستند که امنیت آنان را تامین کنند و برای این کار از هر فرصتی استفاده خواهند کرد.
منبع : www.welivesecurity.com
