روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ «ما وبکم‌تان را ربوده‌ایم... شما را حین تماشای ویدیو‌های مبتذل گیر انداختیم... و اطلاعات‌تان را رمزگذاری کردیم»

شاید بعضی از شما با نقشه‌ی مشابهِ باجگیری که سال گذشته حسابی موفق شد آشنایی داشته باشید. بله... این باج‌افزار دوباره برگشته است و بیش از هر زمان دیگری فعال است. سازندگانِ آن همواره در تلاشند تا نسخه‌های مختلف و جدیدی از آن بسازند تا موفقیتی را که به‌سختی بدست آوردند (حدود 40 درصد کل بازار باج‌افزار) یک‌شبه از دست ندهند. مهاجمینی که  GandCrab را اجاره یا پخش می‌کنند همچنان فعالند و دوست دارند تاکتیک‌هایشان برای قربانی‌ها متفاوت، خلاقانه و برخی اوقات حتی رومانتیک باشد.

باج‌افزار برای احساسی‌ها

ایمیل‌های عاشقانه باشد خیلی مهیج‌اند مگر نه؟ اما موضوعاتی همچون My love letter to you، Fell in love with you و Wrote my thoughts down about you بیشتر از این که باری عاشقانه داشته باشند پیام‌آورِ یک فاجعه‌اند. و تازه شاید در مناسبت‌های بخصوص مانند ولنتاین، کریسمس، سال نو یا روز تولد... حتی در یک شبِ تعطیلِ معمولی این پیام‌ها حتی کمتر هم عجیب به نظر بیایند. با این حال، مانند هر ایمیلی، به این نوع ایمیل‌ها هم باید دقت زیادی شود.

یکی از شایع‌ترین مدل‌های بدافزار، مدل عاشقانه است که این روزها خیلی باب شده: جمله‌ای عاشقانه، نماد قلب در بدنه‌ی خبر و یا حرف‌های رومانتیک در پیوست ایمیل (فایل ZIP که نامش Love_You است و در ادامه‌اش چند دیجیت مختلف وجود دارد). اگر فایل جاوااسکریپت را استخراج و اجرا کنید برایتان باج‌افزارِ GandCrab را دانلود می‌کند.

سپس یادداشتی برایتان خواهد آمد که توضیح می‌دهد تمام اطلاعات روی کامپیوتر شما رمزگذاری شده است و می‌توانید با پرداخت مبالغی (همچون بیت‌کوین) اطلاعات خود را احیا کنید. اگر نمی‌دانید چطور می‌شود با رمزارزها دست و پنجه نرم کرد گروه مجرمین در پس پرده، مهربانانه چتی زنده برایتان باز خواهند کرد و نحوه‌ی پرداخت جریمه را به شما یاد خواهند داد.

باج‌افزار برای اهل کسب و کار

در سال 2017، وصله‌ای منتشر شد که آسیب‌پذیری در ابزاری که اطلاعات بین دو سیستم مدیریتی برای شرکت‌های آی‌تی را همگام‌سازی می‌کرد برطرف نمود؛ اما معدود افرادی این پچ را نصب کردند. در سال 2019، GandCrab قصد دارد همان‌هایی که در سال 2017 این کار را نکردند مورد هدف قرار دهد... هدف آن رمزگذاری کردن هر چند تعداد کامپیوتری است که می‌تواند بدان‌ها دسترسی داشته باشد.

این نقص امنیتی به عاملین این اقدام بزهکارانه اجازه می‌دهد تا اکانت‌های ادمین جدیدی بسازند و از آنجا فرمان‌های خود را برای نصب این باج‌افزار -روی اندپوینت‌هایی که مدیریت می‌شوند- تحمیل نمایند. به بیانی دیگر آن‌ها دستگاه‌های مشتریان شرکت مورد حمله را رمزگذاری کرده و از آن‌ها طلبِ غرامت می‌کنند (همیشه در قالب رمزارز).

باج‌افزار برای مدیران امنیتی

اگر پیوستی از یک ایمیل دریافت کنیم که داخلش نقشه‌ی خروج اضطراریِ شرکتی که در آن کار می‌کنیم باشد چند نفر از ما حاضریم آن پیوست را باز کنیم؟ حتی اگر از آدرسی کاملاً ناشناس باشد؟ اکثریت قریب به اتفاق آن را باز می‌کنیم. در آخر، تعداد کمی نام مدیران امنیتی را به یاد می‌آورند. مهاجمین از همین سهل‌انگاری برای خود فرصتی ایجاد کردند برای ارسال ایمیل‌های آلوده به همراه پیوست فایلی در قالب برنامه‌ی Word. کسانی که داکیومنت را باز می‌کنند تنها عنوان Emergency exit map و دکمه‌ی Enable Content را می‌بینند. اگر روی دکمه کلیک کنید، بازی به قیمت نصب باج‌افزار GandCrab تمام خواهد شد.

باج‌افزار برای پرداخت‌کنندگان

تاکتیک دیگر استفاده از ایمیلی است که به نظر شبیه به برگه‌ی صورت‌حساب یا تأییدیه‌ی پرداخت می‌آید... چیزی که می‌شود آن را از  WeTransfer دانلود نمود. لینک به  ZIP می‌رود و یا برخی اوقات به یک فایل RAR با رمزعبوری برای باز کردنش. حالا حدس بزنید داخل آن آرشیو چیست؟

باج‌افزار برای ایتالیایی‌ها

تاکتیک دیگر نیز از "اعلانیه‌ی پرداخت" -در قالب ضمیمه‌ی فایل اکسل- بهره می‌جوید. اگر سعی در باز کردنش داشته باشید آنگاه به شما خواهد گفت که امکان پیش نمایش آنلاین برای آن وجود ندارد و بعد به شما پیشنهاد می‌شود روی گزینه‌ی  Enable edit کلیک کرده و برای دیدن محتوا گزینه‌ی Enable content را بزنید.

این حمله به طور کنجکاوانه‌ای تیر خود را به قربانیان ایتالیایی می‌زند. با کلیک کردن روی دکمه‌های مورد نیاز، اسکریپتی را فعال می‌کنید که چک می‌کند آیا (بسته به زبانِ ادمینِ سیستم عامل)محل کامپیوتر در ایتالیاست یا نه. اگر نه، هیچ اتفاق خاصی نمی‌افتد. اما اگر کاربر در ایتالیا باشد، آنوقت خواهید دید که چطور مهاجم از در شوخی و مزاح وارد بازی می‌شود. بله... راهش فقط عکسی است از ماریو... می‌دانید، همانی که در بازیِ Super Mario Bros است.

وقتی کلیک می‌کنید تا محتوای فایل را ببینید عکس دانلود می‌شود. این عکس در خود، کد آلوده‌ی PowerShell دارد و شروع می‌کند به دانلود بدافزار. در حال حاضر، محققین بر سر اینکه کدام بدافزار دانلود می‌شود اختلاف دارند: GandCrab، که داده‌های شما را رمزگذاری می‌کند و یا Ursnif، که اطلاعات محرمانه‌ی اکانت آنلاین و بانکی شما را به سرقت می‌برد؟ بگذارید رک باشیم، خیلی فرق دارد. روش انتقال آلودگی هر یک می‌تواند پیامدهای مختلفی نیز به همراه داشته باشد.

نه به خرچنگِ حریص

GandCrab توسط افراد مختلف توزیع می‌شود- باج‌افزاری در قالب یک سرویس- ساخت تیمی از بزهکاران سایبری که به دیگر بزهکاران اجاره داده می‌شود (همان‌هایی که تا جایی که می‌توانند اطلاعات قربانیان خود را رمزگذاری می‌کنند).

• وقتی ایمیلی غیرمنتظره دریافت می‌کنید، پیش از باز کردن پیوست مطمئن شوید از آدرسی معتبر ارسال شده باشد.
• همیشه از اطلاعات مهم‌تان بک‌آپ بگیرید تا در مواقع اضطراری آن‌ها را جایی ذخیره داشته باشید.
• از بسته‌ی امنیتی خوب استفاده کنید تا مطمئن شوید خطر هیچ باج‌افزاری کامپیوتر شما را تهدید نمی‌کند.

اما اگر کامپیوترتان از قبل توسط GandCrab رمزگذاری شده است، هنوز هم می‌توانید کاری کنید تا میزان آسیب را کاهش دهید:

•  شاید بتوانید با چک کردن ابزاری در وبسایتی به نام  No More Ransom project به صورت رایگان فایل‌های خود را بازگردانید. برخی ورژن‌های باج‌افزار GandCrab دارای نقایصی‌اند که اجازه‌ی رمزگشایی به شما می‌دهند. متأسفانه همه‌ی نسخه‌ها را نمی‌توان رمزگشایی نمود.
• پیش از دانلود و اجرای این ابزار رمزگشایی از یک راه‌حل آنتی‌ویروس مطمئن استفاده کنید که این باج‌افزار را از روی دستگاه شما پاک می‌کند. در غیر این صورت، این بدافزار مکرراً سیستم شما را قفل نموده و فایل‌هایتان را رمزگذاری خواهد کرد.