به تازگی باج افزارهای رمزکننده فایلها در میان مجرمان سایبری بسیار محبوب شده است. در حالی که هدف بسیاری از این باج افزارهای سیستم عاملهای ویندوزی میباشد، اما دیده شده است که سیستم عاملهای لینوکس یا macOS نیز در سال 2016 آلوده شده اند. برای مثال، KillDisk تهدیدی برای سیستم عاملهای لینوکس و KeRanger نیز تهدیدی برای سیستم عامل های مک، هستند.
در اوایل هفته گذشته، کارشناسان ESET کمپین باج افزار جدیدی برای سیستم عاملهای Mac کشف نمودند. این باج افزار جدید که در Swift نوشته شده است، از طریق سایت های توزیع کننده BitTorrent توزیع شده و “Patcher نام دارد .
توضیحات
Torrent یک فایل ZIP شده شامل یک بسته نرم افزاری است. همچنین دو مورد نرم افزار کاربردی تقلبی از نوع “Patchers یکی برای Adobe Premiere Pro و یکی برای مایکروسافت آفیس برای Mac ، مشاهده شده است و ممکن است غیر از این ها موارد دیگری نیز وجود داشته باشند.
به طور کلی این نرم افزار کد گذاری ضعیفی دارد. این پنجره دارای پس زمینه شفاف است، که می تواند کاملا گیج کننده باشد و چنانچه پنجره بسته شود غیر ممکن است که بتوان مجددا آن را باز نمود.
این نرم افزار دارای شناسه بسته NULL.prova است و توسط کلیدی امضا میشود که از قبل توسط اپل تایید نشده است.
| $ codesign -dv “Office 2016 Patcher.app” Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher Identifier=NULL.prova Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded Signature=adhoc Info.plist entries=22 TeamIdentifier=not set Sealed Resources version=2 rules=12 files=14 Internal requirements count=0 size=12 |
فرآیند رمزگذاری فایل
با کلیک روی دکمه Start همانطور که در شکل 3 نشان داده شده، فرایند رمزگذاری راه اندازی می شود، یک فایل با نام README! .txt در تمامی دایرکتوریهای کاربر مانند “Documents” و “Photos” کپی شده که محتوای آن در این مقاله نشان داده خواهد شد.
سپس این باج افزاریک رشته 25 کاراکتری تصادفی برای استفاده به عنوان کلید برای رمزگذاری فایل ها تولید می کند. کلیدی مشابه برای تمام فایل ها که یک به یک توسط دستور Find شمارش می شوند، مورد استفاده قرار می گیرد، سپس از یک ابزار فشرده سازی برای ذخیره کردن فایل هایی که در آرشیو رمزگذاری شده اند استفاده می می شود.
در نهایت، فایل اصلی با rm حذف می شود و زمان اصلاح فایل های رمزگذاری شده با دستور touch روی نیمه شب 13 فوریه 2010تنظیم شده است که دلیل این تغییر زمان اصلاح فایل مشخص نیست. سپس دایرکتوری کاربر تحت کنترل قرار می گیرد و این همان چیزی است که تمامی حافظه های شبکه و خارجی نصب شده پیدا می شود.
هنگامی که تمام فایل ها رمزگذاری شدند، کدی وجود دارد که تلاش میکند تمام فضای آزاد پارتیشن روت را با دستور diskutil بی اثر کند، اما مسیر برای این ابزار در نرم افزارهای مخرب اشتباه است. این کد تلاش میکند در مسیر /usr/bin/diskutil اجرا شود در حالیکه مسیر diskutil در سیستم عاملهای مک /usr/sbin/diskutil است.
دستورالعمل سمت چپ برای قربانیان در فایلهای README! .txt در کنار یک فایل کدر، کد شده اند به این معنی که آدرس ایمیل و بیت کوین برای هر قربانی یکسان است. پیام و جزییات ارتباط در هر دو مثالی که بررسی شده نیز یکسان است.
| NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ? What do I do ? So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way FOLLOW THESE STEPS: KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME |
هیچ رمزگشایی ممکن نیست، حتی توسط خود برنامه نویس باج افزار!
مشکل بزرگی که در این باج افزار وجود دارد: هیچ کدی برای ارتباط با سرور C&C ایی وجود ندارد. در واقع هیچ راهی وجود ندارد تا کلیدی که با استفاده از آن رمزنگاری انجام شده است، به اپراتورهای نرم افزار مخرب ارسال شود.
همچنین بدین معنی است که هیچ راهی برای نویسنده باج افزار هم وجود ندارد تا فایلهای قربانی را رمزگشایی کند. پرداخت مبلغ باج در مواجه با این باج افزار هیچ کمکی به برگرداند فایلهای شما نمی کند، در واقع یکی از دلایلی که مدام به قربانیان باج افزارها توصیه می کنیم که مبلغ باج را پرداخت نکنند، همین است.
متاسفانه پسورد ZIP هم تصادفی با دستور arc4random_uniform که یک تولیدکننده تصادفی اعداد امن می باشد، تولید می شود، و کلید نیز بیش از حد طولانی است که بتوان در یک زمان قابل قبول به آن دست پیدا کرد.
صندوق ورودی عمومی
جالب است که آدرس ایمیل نیز یک ایمیل mailinator است. mailinator سرویسی است که برای هر کسی بدون نیاز به ثبت نام و احراز هویت یک صندوق ورودی فراهم میکند و در اینجا برای ارتباط با نویسنده از ایمیلی که دیدن صندوق ورودی آن برای هرکسی ممکن است استفاده می شود. کارشناسان ESET این صندوق ورودی را بررسی کرده ولی هیچ پیامی مشاهده نکردند، در هرصورت این امکان وجود دارد که پیام ها قبل از اینکه توسط کارشناسان دیده شود سریعا پاک شده باشند.
نتیجه گیری :
این باج افزار رمزگذاری جدید، مشخصا برای سیستم عاملهای مک طراحی شده است و مطمئنا شاهکار نیست. متاسفانه، هنوز هم میتواند مانع دسترسی قربانیان به فایلهای خود شود و خطرات جدی را وجود آورد.
هنگامی که نرم افزار تقلبی دانلود شود این خطر افزایش می یابد که کسی با استفاده از کانال مشکوکی برای اجرای نرم افزار مخرب روی سیستم شما دسترسی پیدا کند. ESET توصیه می کند که یک نرم افزار امنیتی نصب نمایید اما مهمترین روش پیشگیری از خطر باج افزارها این است که از تمامی اطلاعات مهم خود فایل پشتیبانی آماده و آفلاینی داشته باشید.
منبع : www.welivesecurity.com
