عضویت در پرتال

عضویت در پرتال پشتیبانی

پرتال پشتیبانی

ورود به پرتال پشتیبانی

یکشنبه, 14 آذر 1395 باج افزار Ded Cryptor

باج افزار Ded Cryptor


Magic نام باج افزاری بود که بر اساس EDA2 بوده و از هر نظر شبیه ان بود و هیچ چیز جالبی یا بخصوصی برای خود نداشت. Utku Sen وقتی متوجه ان شد تلاش کرد تا کلید رمزنگاری انرا طبق معمول توسط بکدورهایش به دست ارد اما موفق نشد. مجرمین سایبری ای که از Magic استفاده میکردن از یک میزبان رایگان برای سرور فرمان و کنترل نیز استفاده مینمودند. زمانیکه این میزبان شکایات مربوط به این فعالیت مخرب را دریافت کرد, حساب این مجرمین و تمامی فایلهای انان را حذف کرد و بدینگونه شانس به دست اوردن کلیدهای رمز همراه با داده ها منهدم گشتند.

اما داستان به همینجا خاتمه نمیابد. سازندگان Magic با Utku Sen تماس برقرار کرده و در مکالماتی که به بحثهائی عمومی و طولانی تبدیل گشتند, به وی پیشنهاد انتشار کلید رمز نگاری به شرطی که وی سورس کد EDA2 را از مالکیت عمومی خارج کرده و سه بیت کوئین میپرداخت را کردند. با گذشت زمان هر دو طرف به موافقت رسیده و پرداخت باج منحل شد.

با این مذاکرات, خوانندگان چیزهای جالبی در مورد انگیزه سیاسی این مخربین اموختند. انها حتی زمانیکه داستان مردی که تمام تصاویر نوزاد خود را با Magic از دست داده بود را شنیدند می خواستند این کلید رمز را منتشر کنند.

بالاخره Utku Sen سورس کد EDA2 و Hidden Tear را از روی GitHub حذف کرد. هر چند که این خیلی دیر انجام شد چون اشخاص بسیاری قبلا انرا دانلود کرده بودند. دوم فوریه 2016, Jornt van der Wiel, متخصص و کارشناس ملویر کسپرسکی در مقاله ای در SecureList قید کرده بود که 24 باج افزار بر اساس Hidden Tear و EDA2 وجود دارند. از ان زمان تا کنون تعداد انها همچنان افزایش میابد.

Ded Cryptor یکی از فرزندان EDA2 است که از سورس کد ان استفاده کرده اما سرور فرمان و کنترل ان در تور میباشد و در نتیجه از امنیت و ناشناسی بیشتری برخوردار است. این باج افزار با سرویس tor2webبا سرور خود مرتبط است که امکان استفاده برنامه ها از تور را بدون مرورگر تور فراهم میسازد.

Ded Cryptor به نوعی از چندین عنصر کد غمومی منتشر شده روی GitHub استفاده میکند و این هیولای فرانکشتاین را به خاطر میاورد. سازندگان ان از کد برای سرور پر*کسی که از یک توسعه دهنده دیگر روی GitHub گرفته شده و کد ارسال درخواست ها توسط توسعه دهنده ثالث دیگری است استفاده کرده اند. حالت غیر معمول این باج افزار این است که درخواستها را مستقیما به سرور ارسال نکرده و یک سرور پر*کسی که از ان روی دستگاه الوده استفاده میکند نصب مینماید.

تا جائیکه ما میدانیم, سازندگان Ded Cryptor روسی هستند. اول اینکه درخواست مبلغ باج فقط به زبان روسی و انگلیسی است. دوم اینکه Fedor Sinitsyn, کارشناس کسپرسکی کد انرا انالیز کرده و مسیر دسترسی به فایل ان که C:\Users\sergey\Desktop\<b>доделать</b>\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb میباشد را یافته است. باید یاداور شد که Magic نیز توسط روسیها ساخته شده بود.

متاسفانه ما اطلاعات کمی در مورد چگونگی انتشار Ded Cryptor داریم. Kaspersky Security Network معتقد است که این باج افزار بر اساس EDA2 و بخصوص در روسیه و بعد چین و المان و ویتنام و هندوستان فعال است.

 

متاسفانه راهی نیز برای برداشتن رمز فایلهای الوده شده با Ded Cryptor وجود ندارد و فقط شاید بتوان تلاش کرد تا بلکه با بازیابی داده ها انها را قبل از الودگی به دست اورد. تنها راه محافظت پیشگیری قبل از الودگی و نتایج ان است.

پنج شنبه, 11 آذر 1395 تهدید اینترنت اشیا (IoT) به وسیله باج افزارها

تهدید اینترنت اشیا (IoT) به وسیله باج افزارها

مفهوم حملات باج‌افزاری برای اینترنت اشیا در سطوح مختلف، از خانه و اداره‌ی هوشمند گرفته تا اتومبیل‌های بدون سرنشین و ابزارهای پوشیدنی شناخته شده است.

در ماه اوت سال جاری بود که دو محقق بریتانیایی از شرکتی امنیتی به نام Pen Test Partners نشان دادند که چطور می‌توانند یک ترموستات خانگی را به باج‌افزار آلوده کنند و از صاحب آن بخواهند که هزینه‌ی دسترسی را بپردازد در غیر این صورت آن‌ها ترموستات را روی ۹۹ درجه تنظیم خواهند کرد!

"کریس یانگ" (Chris Young) به عنوان مدیر ارشد امنیت اینتل در مصاحبه با بلومبرگ پیش‌بینی کرده است که باج‌افزار می‌تواند بر حمل و نقل هم تاثیرگذار باشد. او گفت: "تصور کنید صبح زود سوار خودروی خود که متصل به شبکه است، شده‌اید -یا شاید هم سوار یک خودروی بدون سرنشین باشید- ناگهان یک پاپ‌آپ در مقابل شما ظاهر می‌شود و می‌گوید: ۳۰۰ دلار به من بده تا اجازه دهم به سمت محل کارت رانندگی کنی." البته یانگ اشاره کرد که امکان اجرای چنین سناریویی در زمان حاضر چندان محتمل نیست. او در ادامه تاکید کرد: "با این حال وقوع چنین شرایطی، از قلمروی احتمالات پیش رو خارج نیست."

با این حال، باز هم این احتمال وجود دارد که این باج‌افزارهای مخرب، با سرقت اطلاعات شخصی و مهم افراد که به سرویس‌های ابری ارسال می‌شود، دوربین‌های موجود در منازل افراد را روشن کرده و سپس صاحبان آن‌ها را تهدید به انتشار محتوای فیلم‌های ضبط شده کنند.

البته هنوز خیلی زود است که بگوییم که تهدید حمله‌ی باج‌افزارها به منازل و خودروهای هوشمند قریب‌الوقوع است. حتی این خطر، هنوز نمی‌تواند دستگاه‌های IoT با امنیت ضعیف را تهدید کند. اوضاع‌ نرم‌افزاری و سخت‌افزاری پیرامون موضوع اینترنت اشیا آن قدر سخت و پیچیده است که مسئله‌ی حملات باج‌افزارها در اولویت مراحل بعد به حساب می‌آید.

کاوس می‌گوید: "در حال حاضر، صنعت IoT از هم گسسته بوده و فاقد رویکرد استاندارد و سیستم‌های عملیاتی و ارتباطی است." وی در ادامه خاطرنشان می‌کند: "همین امر کار را برای جرایم باج‌افزاری سخت‌تر کرده است. چرا که آن‌ها نمی‌توانند حملاتی با ساختار مشخص داشته باشند. هر حمله تنها می‌تواند روی نوع خاصی از دستگاه IoT عمل کند و این مسئله باعث می‌شود که تعداد دستگاه‌های مورد حمله در یک زمان مشخص، کاهش پیدا کنند."

پس می‌توانیم، این طور نتیجه‌گیری کنیم که حمله‌ی باج‌افزارهای به دستگاه‌های IoT ، در حال حاضر برای هکرها صرفه‌ی اقتصادی ندارد. اما با فراگیر شدن این فناوری در منازل و شرکت‌ها، وضعیت به طور حتم تغییر خواهد کرد.

اما تهدید حمله به اینترنت اشیا در صنعت جدی است!

صنعت

در هر حال، اکوسیستم اینترنت اشیا برای باج‌افزارها جذاب و دوست داشتنی است! در این حالت، یک سمت معادلات (و البته معاملات!) زیرساخت‌های حیاتی هستند که زندگی هزاران و میلیون‌ها نفر از افراد را تحت تاثیر خود قرار می‌دهد. ضمن این که هزینه‌های عملیاتی بالایی هم به همراه دارد.

به عنوان مثال، در سال جاری بیمارستان‌های ایالات متحده مورد تهاجم موجی از حملات باج‌افزاری واقع شدند که با مسدود کردن دسترسی به فایل سیستم‌های مورد نظر، در انجام عمل‌های جراحی اختلال ایجاد کردند. حملات باج‌افزاری از این بدتر هم می‌تواند باشد. به خصوص که فناوی IoT راه خود را در بیشتر بخش‌های پزشکی و مراقبت‌های بهداشتی باز کرده است.

لارسون در این خصوص می‌گوید: "اگر یک هکر به سیستم IoT بیمارستان دسترسی پیدا کند، سلامتی بیمار در معرض خطر قرار می‌گیرد و ارزش زندگی یک انسان در مقابل درخواست باج قرار می‌گیرد. از آنجا که زمان پارامتر مهمی در این قضیه است پس پرداخت اولیه می‌تواند مبلغ بالایی پیشنهاد شود."

با توسعه‌ی صنعت، چشم‌انداز امنیتی اینترنت اشیا هم پیچیده‌تر خواهد شد. لارسون می‌گوید: "مشابه این سناریو می‌تواند در صنعت هم اتفاق بیفتد. در مواقعی که در صورت قطع عملیات، خسارت به مقدار قابل توجهی باشد، هکر می‌تواند هزینه‌ی بالایی را درخواست کند."

نیروگاه‌ها و شبکه‌های برق از دیگر اهداف با اهمیت باج‌افزاران اینترنت اشیا هستند. کونانت در این باره قطع برق سراسری سال ۲۰۰۳ در ایالات متحده را مثال می‌زند. هر چند که این اختلال یک حمله‌ی سایبری نبود و تا حدودی به دلیل ایراد نرم‌افزاری ایجاد شده بود. این فاجعه بر زندگی ۵۵ میلیون نفر اثر گذاشت و منجر به مرگ و میر ۱۱ نفر و خسارتی به میزان ۶ میلیارد دلار شد.

کونانت می‌گوید: "اکثریت، این وقایع را به حملات هکرها ارتباط ندادند و آن را ناشی از ایرادات و شرایط بد تلقی کردند." او در ادامه گفت: "اما چنین شرایط مشابهی می‌توانست با انگیزه‌های اقتصادی توسط باج‌افزارها صورت گیرد."

بنا‌به گفته‌ی کونانت باج‌افزارها می‌توانند تاثیرات گسترده‌تری در IoT، ایجاد کنند و بعید نیست که توسعه دهندگان باج‌افزارها به دنبال پیدا کردن راه‌های نفوذی بیشتری در این زمینه باشند.

چگونه می‌توان اینترنت اشیا را در مقابل باج‌افزار قوی‌تر کرد؟

امنیت IoT

در حالی که هیچ راهکار قطعی و مشخصی برای حفاظت از دستگاه‌های اینترنت اشیا در برابر حملات باج‌افزارها وجود ندارد، متخصصان و کارشناسان امر دستورالعمل‌ها و شیوه‌هایی را پیشنهاد می‌دهند که می‌تواند به سازمان‌ها و تولیدکنندگان کمک کند تا حفاظت خود را در این مقوله افزایش دهند.

کاوس تاکید می‌کند که بروز رسانی برنامه‌های اجرایی از راه دور یک عامل مهم برای محافظت دستگاه‌هایی است که در معرض حمله‌ی باج‌افزار قرار دارند. چرا که امنیت یک مقصد و نقطه‌ی نهایی نیست. بلکه مسیری است که ادامه دارد و امنیت هیچ دستگاهی تا ابد تضمین شده نیست. بنا به گفته‌ی کاوس، هر محصول IoT باید بتواند که به صورت آسان، موثر و ایمن بروزرسانی شود.

مبحث ایمنی در بروزرسانی واقعا مهم است. چرا که اگر عملیات بروزسانی به شکل امن صورت نگیرد، کانال‌های بروزرسانی می‌توانند عامل نفوذ باج‌افزار به دستگاه شوند. همان‌طور که کاوس می‌گوید، بروزرسانی در صورتی امن است که پردازنده‌ی دستگاه و سیستم عامل قفل شود و بخش ارتباطی دستگاه‌ها رمزگذاری شوند. در این صورت یک بروزرسانی بی‌سیم قدرتمند (OTA) می‌تواند دستگاه‌های قربانی باج‌افزار را بازیابی کند.

کونانت تاکید دارد که در اینجا به یک مکانیزم احراز هویت نیاز است تا از اینترنت اشیا در برابر حملات باج‌افزارها محافظت کند. او در ادامه می‌گوید: "در مقیاس بزرگ، ادامه‌ی چنین روند سودجویانه‌ای نه تنها می‌تواند محصولات را از کار بیاندازد، بلکه برای سازندگان و مصرف‌کنندگان دستگاه‌ها ایجاد مشکل می‌کند."

چشم‌انداز امنیتی اینترنت اشیا همچنان به عنوان یک موضوع پیچیده وجود دارد در حالی که صنعت در تلاش است تا در زمینه‌ی اینترنت اشیا توسعه پیدا کند. با این حال می‌توان امیدوار بود که با آسیب‌پذیری‌های موجود می‌توان مقابله کرد و نهایت استفاده از این فناوری را داشت.

چهارشنبه, 03 آذر 1395 ردیابی فعالیت های کاربران توسط باج افزار Ransoc

ردیابی فعالیت های کاربران توسط باج افزار Ransoc

باتوجه به اتصال این باج افزار به شبکه های اجتماعی، پیغام باج خواهی که نمایش داده می شود با اطلاعات دقیق حساب کاربر مانند تصویر پروفایل سفارشی سازی شده است. قربانی با اطلاعاتی که توسط باج افزار جمع آوری شده تهدید می شود. در این تهدید به قربانی گفته می شود اگر باج درخواستی را پرداخت نکند، اطلاعات حساس او به طور عمومی افشاء خواهد شد. همچنین مهاجمان با روش مهندسی اجتماعی پیام را طوری ارسال می کنند که کاربر فریب خورده و فکر کند این پیام از طرف بخش های اصلی شبکه ی اجتماعی است.

مشاهده شده که در کد این باج افزار قابلیت راه اندازی وب کم سامانه ی قربانی نیز وجود دارد ولی محققان می گویند این قابلیت فعال نشده و مورد استفاده قرار نگرفته است. پیغام باج خواهی در یک پنجره ی تمام صفحه نمایش داده شده و همچون یک قفل کننده ی مرورگر عمل می کند و اجازه ی کار با سامانه عامل و بستن مرورگر را به قربانی نمی دهد. علاوه بر این باج افزار Ransoc هر ۱۰۰ میلی ثانیه یکبار فرآیندهای regedit ،msconfig و taskmgr را بررسی کرده و به این فرآیندها خاتمه می دهد. با این کار مانع از این می شود که قربانی بتواند این باج افزار را متوقف نماید.

همچنین محققان کشف کردند که این باج افزار تنها از یک کلید خودکار رجیستری برا ماندگاری استفاده می کند. در نتیجه قربانی می تواند با راه اندازی مجدد سامانه در حالت امن این آلودگی را حذف کند. توسعه دهندگان این باج افزار از رویکرد خاصی برای پرداخت باج استفاده کرده و شماره کارت را در پیغام باج خواهی اعلام کرده اند. با این رویکرد مراجع قضایی به راحتی می توانند مهاجمان را ردیابی کنند. هرچند مهاجمان مطمئن هستند که کاربر بخاطر فعالیت های غیرمجازی که داشته، این مسئله را با مراجع قضایی در میان نمی گذارد.

همچنین باتوجه به اینکه پیغام باج خواهی پس از یافتن پرونده های پورنوگرافی و فعالیت های غیراخلاقی و غیرمجاز نمایش داده می شود، این احتمال وجود دارد که این بدافزار از طریق تبلیغات در وب گاه های پورنوگرافی و دوست یابی توزیع شده باشد. در این پیغام باج خواهی همچنین اشاره شده است که اگر قربانی در ۱۸۰ روز آینده فعالیت های غیرمجاز نداشته باشد، باج به او برگردانده خواهد شد.
محققان امنیتی می گویند بدافزار Ransoc سامانه های ویندوزی را هدف قرار داده است و قابلیت اصلی این باج افزار یک قفل کننده ی مرورگر است که در بسترهای-متقابل کار می کند. این قفل کننده مرورگر در اکتبر مورد بررسی قرار گرفته و کشف شده که توسط پویش های تبلیغاتی توزیع می شود. این قفل کننده ی مرورگر بر روی ویندوز مرورگر اینترنت اکسپلورر و بر روی سامانه ی مک ایکس مرورگر سافاری را هدف قرار داده است.

اخیراً باج افزار جدیدی کشف شده که برخلاف گونه های مشابه خود، پرونده های موجود بر روی سامانه را رمزنگاری نمی کند بلکه با اتصال به حساب های شبکه های اجتماعی، پرونده های تورنت و فعالیت های غیرمجاز را پیدا کرده و از قربانی باج درخواست می کند.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , این باج افزار با نام Ransoc به شبکه های اجتماعی مانند لینکدین، فیس بوک و اسکایپ متصل می شود. بعد از اینکه بر روی سامانه ی آلوده به شبکه های اجتماعی متصل شد، به دنبال پرونده های تورنت و هرگونه فعالیت غیرمجاز می گردد و در نهایت باتوجه به پرونده هایی که پیدا کرده، پیغام باج خواهی را نمایش می دهد.

محققان امنیتی می گویند بدافزار Ransoc سامانه های ویندوزی را هدف قرار داده است و قابلیت اصلی این باج افزار یک قفل کننده ی مرورگر است که در بسترهای-متقابل کار می کند. این قفل کننده مرورگر در اکتبر مورد بررسی قرار گرفته و کشف شده که توسط پویش های تبلیغاتی توزیع می شود. این قفل کننده ی مرورگر بر روی ویندوز مرورگر اینترنت اکسپلورر و بر روی سامانه ی مک ایکس مرورگر سافاری را هدف قرار داده است.

پس از تحلیل این بدافزار محققان دریافتند که این باج افزار بررسی بر روی آدرس IP انجام داده و تمامی ترافیک را تحت شبکه ی Tor منتقل می کند. همچنین کشف شده است که این باج افزار زمانی پیغام باج خواهی را نمایش می دهد که شواهد کافی از پورنوگرافی کودکان و پرونده های بارگیری شده توسط تورنت در سامانه ی آلوده وجود داشته باشد.