روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛به تازگی انگلیسی زبانان و روسی زبانان مورد حمله یک تروجان باج افزار به نام Ded Cryptor شدند. این باج افزار حریص خواستار حدود 2 بیت کوین(معادل 1.300$( به عنوان باج شد. متاسفانه هیچ راهکار رمزگشایی که قابل دسترس برای بازگرداندن فایل های گروگان گرفته توسط Ded Cryptor باشد، وجود نداشت.
هنگامی که یک کامپیوتر با Ded Cryptor آلوده شد، نرم افزار مخرب تصویر زمینه سیستم یا همان والپیپر سیستم را به یک عکس ترسناک بابانوئل همانند تصویر زیر تغییر می دهد. یک تصویر ترسناک و تقاضای باج، چیزی شبیه بقیه باج افزارها، درست است؟ اما Ded Cryptor یک داستان واقعا جالب دارد که دلهره آوراست.
این باج افزار در اختیار همه است!
آغاز ماجرا توسط یک محقق امنیتی از ترکیه بنام Utku Sen بود که بخشی از یک باج افزار را ساخت و سورس کد آن را در محیط آنلاین منتشر ساخت. هرکسی می تواند آن را از GitHub دانلود کند،GitHub وبسایتیست که توسعه دهندگان برای همکاری در پروژه ها استفاده می کنند. (البته این سورس کد بعدها پاک شد، در ادامه دلیل آن را می خوانیم).
ساخت یک سورس کد آزاد که در دسترس مجرمانی باشد که بدون شک از این کد برای cryptor های خود استفاده خواهند کرد(که همینطور هم شد)، یک ایده ی انقلابی بود. با این حال Sen که یک هکر کلاه سفید است، احساس کرد که هر متخصص امنیت سایبری باید درکی از طرز تفکر مجرمان سایبری و چگونگی کد زدن آن ها داشته باشد. او معتقد بود روش غیر معمول اش به اشخاص خوب برای مخالفت با اشخاص بد کمک خواهد کرد.
در پروژه اخیر که پروژه باج افزار اشک پنهان نام داشت، بخشی از آزمایش Sen بود. از همان ابتدا مقصود Sen برای آموزش و پژوهش بود. با گذشت زمان او نوعی از باج افزار را توسعه داد که به صورت آفلاین کار می کرد و پس از آن EDA2 مدلی قویتر آن را توسعه داد.
EDA2 رمزگزاری نامتقارن بهتری نسبت به باج افزار اشک پنهان داشت. این باج افزار می توانست با یک دستور و کنترل سرور، ارتباط برقرار کند و رمزگزاری کلید را به آنجا انتقال دهد و یک عکس ترسناک را به قربانی نشان دهد.
EDA2 هم در GitHub منتشر شد. که تعداد زیادی توجه و انتقاد را برای Sen به ارمغان آورده است. با این کد منبع آزاد در دسترس، مجرمان سایبری که تا به حال به منبع کد درستی دسترسی نداشته اند می توانند از کد منبع آزاد باج افزار Sen برای بدست آوردن پول های مردم استفاده کنند. آیا Sen این موضوع را نمی دانست؟
چرا Sen به این موضوع آگاه بود و به همین خاطر برای باج افزارش backdoor در نظر گرفته بود که به او این امکان را می داد تا کلید رمزگشایی را پس بگیرید. این بدان معنی است که اگر Sen متوجه می شد که شخصی از باج افزارش برای اهداف منفی استفاده می کند، این امکان برایش وجود داشت که URL سرور کنترل را به منظور دستیابی به کلید ها بدست آورد و آنها را به قربانیان بدهد. مشکلی در این جا وجود داشت که برای فایل های رمزگزاری شده آنها، قربانیان باید در مورد هکر کلاه سفید مطمئن می شدند و از او درخواست کلید می کردند و اکثریت قربانیان هرگز نام Utku Sen را نشنیده بودند.
کسی که باج افزار را ساخته باید باج بپردازد
البته رمزگزارهایی که از اشک پنهان و سورس کد EDA2 ایجاد شده اند مدت زیادی نیست که آمده اند. Sen با تعداد زیادی از باج افزارهای موفق و غیر موفق سر و کار داشته است: او کلید را منتشر کرد و منتظر ماند تا قربانیان آن را پیدا کنند. اما در مورد رمزگزارهایی که از سورس کد EDA2 ایجاد شده اند همه چیز به خوبی پیش نرفت.
Magic باج افزاری است که متکی بر EDA2 بود و درست مانند نسخه اورجینال به نظر می رسید. هنگامی که Sen از وجود این باج افزار باخبر شد، تلاش کرد تا کلید رمزگشایی مانند قبل بیابد (از طریق backdoor)، اما هیچ راهی برای آن وجود نداشت. مجرمان سایبری با استفاده از Magic یک هاست رایگان برای فرمان و کنترل سرور انتخاب کرده بودند. زمانیکه ارائه دهندگان خدمات هاست با توجه به فعالیت های مخرب شکایتی دریافت می کردند، تمام حساب های کاربری مجرمان و تمام فایل هایشان پاک می شدند. هیچ شانسی برای گرفتن کلید رمزنگاری وجود نداشت.
داستان به اینجا ختم نمی شود. سازندگان Magic به Utku Sen رسیدند و مکالمات آن ها به بحثی طولانی و عمومی بسط داده شد. آن ها با ارائه پیشنهاد انتشار کلید رمزگشایی به شرط آنکه Sen سورس کد را از دسترس عموم پاک کند و همچنین 3 بیت کوین پرداخت نماید شروع کردند. در آن زمان، هر دو طرف به ترک باج توافق کردند.
این مذاکرات به داستان جالبی ختم شد: آنها زمانی که متوجه شدند یک مرد تمام تصاویر نوزاد پسر خود را از دست داده است کلید رمزگشایی را منتشر ساختند.
در آخر، Sen،EDA2 و کد منبع اشک پنهان را از GitHub حذف کرد، اما برای این کار خیلی دیر شده بود. تعداد زیادی از مردم آن را دانلود کرده بودند. در 2 فوریه 2016، کارشناس کسپرسکی Jornt van der Wiel در گزارش خود در مقاله ی SecureList نوشته بود که 24 رمزگزار برپایه اشک پنهان و EDA2 وجود داشت. از آن زمان آن رقم افزایش یافته است.
Ded Cryptor چگونه پدیدار شد؟
Ded Cryptor یکی از زادگان آنها است که از سورس کد EDA2 استفاده می کند. اما کنترل سرور آن برای امنیت بیشتر آن با هاستی در Torاست. این باج افزار از طریق سرویسی که روی tor2web می باشد ارتباط برقرار می کند. و اجازه می دهد برنامه ها بدون استفاده از بروزر Tor، از این سرویس استفاده کنند.
Ded Cryptor از تکه های مختلف کد های بازِ منتشر شده در GitHub ایجاد شده بود که آن را با هیولای فرانکنشتاین به یاد می آورند. سازندگان، سورس کد پروکسی سرور را از یکی دیگر از توسعه دهندگان GitHub قرض می گرفتند و کد درخواست ارسال نیز در ابتدا توسط یک شخص دیگر نوشته شده بود. یکی از جنبه های غیر معمول این نوع باج افزار این است که درخواست ها را به طور مستقیم به سرور ارسال نمیکند. به جای آن، یک سرور پروکسی بر روی کامپیوتر آلوده نصب و از آن استفاده می کند.
تا آنجا که ما می دانیم، توسعه دهندگان Ded Cryptor روسی زبان هستند. البته توجه داشته باشید که اولا درخواست باج به زبان روسی و انگلیسی نوشته می شود. دوما تحلیلگر ارشد باج افزار لابراتوار کسپرسکی Fedor Sinitsyn کد باج افزار را آنالیز کرد و مسیر فایل را پیدا کرد: C:\Users\sergey\Desktop\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb (به هر حال باج افزار Magic توسط مردم روسی زبان توسعه داده شده است).
متاسفانه، شناخت کمی در مورد DedCryptor گسترش یافته است. با توجه به شبکه امنیت کسپرسکی، فعالیت EDA2 در روسیه و بعد از آن چین، آلمان، ویتنام و هند همچنان وجود دارد.
باعث تاسف است که هیچ راه دسترسی برای رمزگشایی فایل های معیوبی که توسط Ded Cryptor رمزگزاری می شوند، وجود ندارد. قربانیان برای بازیابی اطلاعات خود می توانند از 1 shadow copies سیستم عامل خود استفاده کنند. البته همیشه پیشگیری بهتر از درمان است.
کسپرسکی اینترنت سکیوریتی تمام تروجان ها را بر اساس اشک پنهان و EDA2 تشخیص می دهد و هنگامی که کاربر با آن برخورد داشته باشد هشداری با عنوان Trojan-Ransom.MSIL.Tear می دهد. همچنین این محافظ عملیات تروجان را متوقف کرده و به آن ها اجازه نمی دهد که فایل های شما را رمزگزاری کند.
کسپرسکی توتال سکیوریتی به طور اتوماتیک از فایل های شما بک آپ می گیرد که می تواند در تمام موارد مفید عمل کند و از آلودگی باج افزار و مرگ ناگهانی هارد دیسک جلوگیری کند.
- Shadow copy یا همان volume snapshot service تکنولوژی مبتنی بر ویندوز های مایکروسافت بوده که یک کپی لحظه ای از فایل هایی که با آنها کار می کنیم گرفته می شود و کاربردش در مواقعی است که فایل های مورد نظرمان پاک شده اند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.