بدافزار باجگیری وارد Tor می شود: جانشینی بالقوه برای Cryptolocker

آزمایشگاه کسپرسکی از فعالیت مجدد بدافزاری خبر داد که داده‌های کاربران را رمزنگاری کرده و سپس برای رمزگشایی آن طلب پول می‌کند.

[separator type=’transparent’ color=” thickness=” up=’3′ down=’3′]

کسپرسکی این بدافزار باج‌گیر را “Onion” نام گذاری کرده است چرا که از شبکه ناشناس Tor (روتر Onion) استفاده می‌کند تا ماهیت مخرب خود را مخفی کرده و کنترل بر روی خود را دشوار سازد.

[separator type=’transparent’ color=” thickness=” up=’3′ down=’3′]

بهبودهای فنی اعمال شده بر روی این بدافزار سبب شده تا یک تهدید واقعا خطرناک به حساب آید و جانشینی برای رمزنگارهای Cryptolocker، CryptoDefence/CryptoWall، ACCDFISA و GpCode محسوب شود. Onion در حقیقت عضو جدیدی از خانواده رمزنگارهای باجگیری است که از مکانیزم شمارش معکوس برای ترساندن قربانی استفاده می‌کند و برای رمزگشایی بیت‌کوین (Bitcoin) مطالبه می‌کند. این مجرمان سایبری یک مهلت ۷۲ ساعتی برای پرداخت بیت‌کوین به صاحب داده می‌دهند و او را تهدید می‌کنند که پس از اتمام مهلت تمام اطلاعات از بین خواهد رفت.

[separator type=’transparent’ color=” thickness=” up=’3′ down=’3′]

به منظور انتقال داده‌های محرمانه و اطلاعات پرداخت، Onion با سرورهای command and control مستقر در یک شبکه ناشناس ارتباط برقرار می‌کند. پیش‌تر، محققان شرکت کسپرسکی معماری این نوع ارتباط را مشاهده کرده‌اند، اما فقط توسط چند خانواده محدود بدافزار بانکی مانند ۶۴-bit ZeuS (متصل به Tor) استفاده می‌شد.

[separator type=’transparent’ color=” thickness=” up=’3′ down=’3′]

به گفته ی Fedor Sinitsyn، تحلیل‌گر ارشد بدافزار در کسپرسکی، “اکنون به نظر می‌رسد که Tor به ابزاری برای اینگونه ارتباطات تبدیل شده و توسط انواع بدافزارها مورد استفاده قرار می‌گیرد. ویژگی‌های بدافزار Onion که پیش‌تر هم مشاهده شده بود و توسط Tor به کار گرفته می‌شد بهبودهایی فنی داشته است. پنهان کردن سرورهای command and control در شبکه ناشناس Tor کار جستجوی مجرمان سایبری را پیچیده می‌کند. همچنین استفاده از تکنیک رمزنگاری غیرمعمول رمزگشایی را حتی در صورتی که ترافیک داده بین تروجان و سرور دستکاری شود، ناممکن می‌سازد. با این اوصاف این بدافزار یک تهدید واقعا خطرناک و همچنین یکی از پیشرفته‌ترین رمزنگارهای موجود محسوب می‌شود.”

[separator type=’transparent’ color=” thickness=” up=’5′ down=’5′]

رویکرد سه لایه آلودگی

برای این که بدافزار Onion به یک سیستم وارد شود، ابتدا از طریق بات‌نت (Andromeda (Backdoor.Win32.Androm مسیر خود را آغاز می‌کند. سپس بات نت فرمان دانلود و اجرای یک بدافزار خاص دیگر از خانواده Joleee را روی دستگاه آلوده دریافت می‌کند و سپس این بدافزار، Onion را در سیستم آلوده دریافت می‌کند. این تنها یکی از راه‌های ممکن است که تا این جا کسپرسکی آن را شناسایی و کرده است.

[separator type=’transparent’ color=” thickness=” up=’5′ down=’5′]

انتشار جغرافیایی

بیشترین آلودگی‌ها در کشورهای مستقل مشترک المنافع (CIS) ثبت شده است، در حالی که مواردی نیز در آلمان، بلغارستان، امارات متحده عربی و لیبی نیز شناسایی شده است.

نمونه‌های اخیر این بدافزار از واسط زبان روسی پشتیبانی می‌کند. این واقعیت و متون داخل بدنه تروجان بیانگر این مطلب است که سازندگان این بدافزار به زبان روسی صحبت می‌کنند.

[separator type=’transparent’ color=” thickness=” up=’5′ down=’5′]

توصیه‌های امنیتی

• تهیه نسخه پشتیبان از فایل‌های مهم

بهترین راه برای اطمینان از امنیت داده‌های مهم، تهیه نسخه پپشتیبان به صورت مستمر و زمان‌بندی شده است که این کار می‌بایست به طور منظم انجام شود. همچنین دستگاهی که بر روی آن ذخیره سازی صورت می‌گیرد تنها باید بدین منظور مورد دسترسی واقع شود (مانند دستگاه‌های removable که پس از تهیه نسخه پشتیبان فورا از دسترس خارج می‌شوند). رعایت نکردن این توصیه‌ها سبب می‌شود که فایل‌های پشتیبان، مورد حمله واقع شده و توسط بدافزار باج‌گیری همانند فایل‌های اولیه رمزنگاری شوند.

• نصب آنتی ویروس

یک راهکار امنیتی می‌بایست همواره در سیستم برقرار بوده و تمام اجزای آن فعال باشد. همچنین دیتابیس آن نیز باید به روز باشد.