باج افزار جدیدی سیستم عامل های مک را هدف حملات خود قرار داده است

crypto ransomware

به تازگی باج افزارهای رمزکننده فایلها در میان مجرمان سایبری بسیار محبوب شده است. در حالی که هدف بسیاری از این باج افزارهای سیستم عاملهای ویندوزی میباشد، اما دیده شده است که سیستم عاملهای لینوکس یا macOS  نیز در سال 2016 آلوده شده اند. برای مثال، KillDisk  تهدیدی برای سیستم عاملهای لینوکس و KeRanger  نیز تهدیدی برای سیستم عامل های مک، هستند.

در اوایل هفته گذشته، کارشناسان ESET کمپین باج افزار جدیدی برای سیستم عاملهای Mac کشف نمودند. این باج افزار جدید که در Swift نوشته شده است، از طریق سایت های توزیع کننده BitTorrent توزیع شده و "Patcher نام دارد .


توضیحات
1 torrent site z1uzu 1024x1001
Torrent یک فایل ZIP شده شامل یک بسته نرم افزاری است. همچنین دو مورد نرم افزار کاربردی تقلبی از نوع “Patchers یکی برای Adobe Premiere Pro  و یکی برای مایکروسافت آفیس برای Mac ، مشاهده شده است و ممکن است غیر از این ها موارد دیگری نیز وجود داشته باشند.

2 icons b07pj

به طور کلی این نرم افزار کد گذاری ضعیفی دارد. این  پنجره دارای پس زمینه شفاف است، که می تواند کاملا گیج کننده باشد و چنانچه پنجره بسته شود غیر ممکن است که بتوان مجددا آن را باز نمود.
این نرم افزار دارای شناسه بسته NULL.prova  است و توسط کلیدی امضا میشود که از قبل توسط اپل تایید نشده است.

$ codesign -dv "Office 2016 Patcher.app"
Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifier=NULL.prova
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded
Signature=adhoc
Info.plist entries=22
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=14
Internal requirements count=0 size=12

3 transparent window 539w0 768x632

فرآیند رمزگذاری فایل

با کلیک روی  دکمه  Start همانطور که در شکل 3 نشان داده شده، فرایند رمزگذاری راه اندازی می شود، یک فایل با نام README! .txt در تمامی دایرکتوریهای کاربر مانند "Documents" و "Photos" کپی شده که محتوای آن در این مقاله نشان داده خواهد شد.
سپس این باج افزاریک رشته 25 کاراکتری تصادفی برای استفاده به عنوان کلید برای رمزگذاری فایل ها تولید می کند. کلیدی مشابه برای تمام فایل ها که یک به یک توسط دستور Find شمارش می شوند، مورد استفاده قرار می گیرد، سپس از یک ابزار فشرده سازی برای ذخیره کردن فایل هایی که در آرشیو رمزگذاری شده اند استفاده می می شود.
در نهایت، فایل اصلی با rm حذف می شود و زمان اصلاح فایل های رمزگذاری شده با دستور touch روی نیمه شب 13 فوریه 2010تنظیم شده است که دلیل این تغییر زمان اصلاح فایل مشخص نیست. سپس دایرکتوری کاربر تحت کنترل قرار می گیرد و این همان چیزی است که تمامی حافظه های شبکه و خارجی نصب شده پیدا می شود.
هنگامی که تمام فایل ها رمزگذاری شدند، کدی وجود دارد که تلاش میکند تمام فضای آزاد پارتیشن روت را با دستور diskutil  بی اثر کند، اما مسیر برای این ابزار در نرم افزارهای مخرب اشتباه است. این کد تلاش میکند در مسیر /usr/bin/diskutil اجرا شود در حالیکه مسیر diskutil در سیستم عاملهای مک   /usr/sbin/diskutil است.

4 crypted qfe5s


دستورالعمل سمت چپ برای قربانیان در فایلهای README! .txt در کنار یک فایل کدر، کد شده اند به این معنی که آدرس ایمیل و بیت کوین برای هر قربانی یکسان است. پیام و جزییات ارتباط در هر دو مثالی که بررسی شده نیز یکسان است.

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption method.

What do I do ?

So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON'T BE ANY METHOD TO RECOVER YOUR FILES, DON'T WASTE YOUR TIME

هیچ رمزگشایی ممکن نیست، حتی توسط خود برنامه نویس باج افزار!


مشکل بزرگی که در این باج افزار وجود دارد: هیچ کدی برای ارتباط با سرور C&C ایی وجود ندارد. در واقع هیچ راهی وجود ندارد تا کلیدی که با استفاده از آن رمزنگاری انجام شده است، به اپراتورهای نرم افزار مخرب ارسال شود.
همچنین بدین معنی است که هیچ راهی برای نویسنده باج افزار هم وجود ندارد تا فایلهای قربانی را رمزگشایی کند. پرداخت مبلغ باج در مواجه با این باج افزار هیچ کمکی به برگرداند فایلهای شما نمی کند، در واقع یکی از دلایلی که مدام به قربانیان باج افزارها توصیه می کنیم که مبلغ باج را پرداخت نکنند، همین است.
متاسفانه پسورد ZIP هم تصادفی با دستور arc4random_uniform که یک تولیدکننده تصادفی اعداد امن می باشد، تولید می شود، و کلید نیز بیش از حد طولانی است که بتوان در یک زمان قابل قبول به آن دست پیدا کرد.
صندوق ورودی عمومی
جالب است که آدرس ایمیل نیز یک ایمیل mailinator است. mailinator سرویسی است که برای هر کسی بدون نیاز به ثبت نام و احراز هویت یک صندوق ورودی فراهم میکند و در اینجا برای ارتباط با نویسنده از ایمیلی که دیدن صندوق ورودی آن برای هرکسی ممکن است استفاده می شود. کارشناسان ESET این صندوق ورودی را بررسی کرده ولی هیچ پیامی مشاهده نکردند، در هرصورت این امکان وجود دارد که پیام ها قبل از اینکه توسط کارشناسان دیده شود سریعا پاک شده باشند.


نتیجه گیری :


این باج افزار رمزگذاری جدید، مشخصا برای سیستم عاملهای مک طراحی شده است و مطمئنا شاهکار نیست. متاسفانه، هنوز هم میتواند مانع دسترسی قربانیان به فایلهای خود شود و خطرات جدی را وجود آورد.
هنگامی که نرم افزار تقلبی دانلود شود این خطر افزایش می یابد که کسی با استفاده از کانال مشکوکی برای اجرای نرم افزار مخرب روی سیستم شما دسترسی پیدا کند. ESET توصیه می کند که یک نرم افزار امنیتی نصب نمایید اما مهمترین روش پیشگیری از خطر باج افزارها این است که از تمامی اطلاعات مهم خود فایل پشتیبانی آماده و آفلاینی داشته باشید.

5 crypto

منبع : www.welivesecurity.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین