عضویت در پرتال

عضویت در پرتال پشتیبانی

پرتال پشتیبانی

ورود به پرتال پشتیبانی

باج افزار Ded Cryptor


Magic نام باج افزاری بود که بر اساس EDA2 بوده و از هر نظر شبیه ان بود و هیچ چیز جالبی یا بخصوصی برای خود نداشت. Utku Sen وقتی متوجه ان شد تلاش کرد تا کلید رمزنگاری انرا طبق معمول توسط بکدورهایش به دست ارد اما موفق نشد. مجرمین سایبری ای که از Magic استفاده میکردن از یک میزبان رایگان برای سرور فرمان و کنترل نیز استفاده مینمودند. زمانیکه این میزبان شکایات مربوط به این فعالیت مخرب را دریافت کرد, حساب این مجرمین و تمامی فایلهای انان را حذف کرد و بدینگونه شانس به دست اوردن کلیدهای رمز همراه با داده ها منهدم گشتند.

اما داستان به همینجا خاتمه نمیابد. سازندگان Magic با Utku Sen تماس برقرار کرده و در مکالماتی که به بحثهائی عمومی و طولانی تبدیل گشتند, به وی پیشنهاد انتشار کلید رمز نگاری به شرطی که وی سورس کد EDA2 را از مالکیت عمومی خارج کرده و سه بیت کوئین میپرداخت را کردند. با گذشت زمان هر دو طرف به موافقت رسیده و پرداخت باج منحل شد.

با این مذاکرات, خوانندگان چیزهای جالبی در مورد انگیزه سیاسی این مخربین اموختند. انها حتی زمانیکه داستان مردی که تمام تصاویر نوزاد خود را با Magic از دست داده بود را شنیدند می خواستند این کلید رمز را منتشر کنند.

بالاخره Utku Sen سورس کد EDA2 و Hidden Tear را از روی GitHub حذف کرد. هر چند که این خیلی دیر انجام شد چون اشخاص بسیاری قبلا انرا دانلود کرده بودند. دوم فوریه 2016, Jornt van der Wiel, متخصص و کارشناس ملویر کسپرسکی در مقاله ای در SecureList قید کرده بود که 24 باج افزار بر اساس Hidden Tear و EDA2 وجود دارند. از ان زمان تا کنون تعداد انها همچنان افزایش میابد.

Ded Cryptor یکی از فرزندان EDA2 است که از سورس کد ان استفاده کرده اما سرور فرمان و کنترل ان در تور میباشد و در نتیجه از امنیت و ناشناسی بیشتری برخوردار است. این باج افزار با سرویس tor2webبا سرور خود مرتبط است که امکان استفاده برنامه ها از تور را بدون مرورگر تور فراهم میسازد.

Ded Cryptor به نوعی از چندین عنصر کد غمومی منتشر شده روی GitHub استفاده میکند و این هیولای فرانکشتاین را به خاطر میاورد. سازندگان ان از کد برای سرور پر*کسی که از یک توسعه دهنده دیگر روی GitHub گرفته شده و کد ارسال درخواست ها توسط توسعه دهنده ثالث دیگری است استفاده کرده اند. حالت غیر معمول این باج افزار این است که درخواستها را مستقیما به سرور ارسال نکرده و یک سرور پر*کسی که از ان روی دستگاه الوده استفاده میکند نصب مینماید.

تا جائیکه ما میدانیم, سازندگان Ded Cryptor روسی هستند. اول اینکه درخواست مبلغ باج فقط به زبان روسی و انگلیسی است. دوم اینکه Fedor Sinitsyn, کارشناس کسپرسکی کد انرا انالیز کرده و مسیر دسترسی به فایل ان که C:\Users\sergey\Desktop\<b>доделать</b>\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb میباشد را یافته است. باید یاداور شد که Magic نیز توسط روسیها ساخته شده بود.

متاسفانه ما اطلاعات کمی در مورد چگونگی انتشار Ded Cryptor داریم. Kaspersky Security Network معتقد است که این باج افزار بر اساس EDA2 و بخصوص در روسیه و بعد چین و المان و ویتنام و هندوستان فعال است.

 

متاسفانه راهی نیز برای برداشتن رمز فایلهای الوده شده با Ded Cryptor وجود ندارد و فقط شاید بتوان تلاش کرد تا بلکه با بازیابی داده ها انها را قبل از الودگی به دست اورد. تنها راه محافظت پیشگیری قبل از الودگی و نتایج ان است.

بازدید 365 بار آخرین ویرایش در یکشنبه, 14 آذر 1395 ساعت 16:03

اضافه کردن نظر


کد امنیتی
تازه سازی