باج افزار Chimera در بند شاه دزدان هم قطار

علاوه بر فعالیت و تلاش همیشگی کارشناسان امنیتی و شرکتهای ضدویروس، بعضی مواقع قربانیان باج افزارها می توانند از رقابت و کشمکش های بین گروه های بدافزارنویس هم سود و بهره ببرند.

به گزارش شرکت مهندسی شبکه گستر، هفته گذشته این اتفاق افتاد وقتی که نویسندگان دو باج افزار Petya و Mischa بیش از 3 هزار و پانصد کلید خصوصی رمزنگاری باج افزار Chimera را افشا و بر روی اینترنت منتشر کردند. از این کلیدهای خصوصی برای رمزگذاری  کامپیوترهای آلوده به باج افزار Chimera استفاده شده و با داشتن این کلیدها، قربانیان Chimera می توانند به بازگشت اطلاعات از دست رفته خود امیدوار باشند.

گردانندگان باج افزار Mischa با انتشار اطلاعیه ای ادعا کرده اند که اخیراً بخش بزرگی از داده‌ها و برنامه های مرتبط با باج افزار Chimera را به دست آورده اند. به دنبال این سرقت Mischa از همقطار خود و داشتن برنامه (source) باج افزار Chimera اکنون حتی توانسته اند قابلیت ها و امکاناتی از باج افزار Chimera را به گونه های جدید Mischa اضافه کنند. این رویداد را شرکت امنیتی Malwarebytes نیز تائید و گزارش داده است.

هنوز تائیدیه ای مبنی بر اصالت و صحت کلیدهای رمزنگاری افشا شده وجود ندارد ولی احتمال زیاد داده می شود که این کلیدها واقعی باشند. با داشتن این کلیدها، اکنون کارشناسان و شرکتهای امنیتی می توانند یک ابزار رمزگشایی برای باج افزار Chimera تهیه کنند.    

باج افزار Chimera آبان سال گذشته (1394) برای اولین بار مشاهده و شناسایی شد. این باج افزار مورد توجه ویژه قرار گرفت چون علاوه بر رمزگذاری اطلاعات قربانیان خود، آنان را تهدید می کرد که در صورت عدم پرداخت به موقع باج، اقدام به انتشار عمومی اطلاعات خصوصی آنها بر روی اینترنت خواهد کرد. البته تاکنون هیچ مدرک و شواهدی مبنی بر چنین اقدامی مشاهده و گزارش نشده است.

از طرف دیگر، باج افزار Mischa یک باج افزار نسبتاً جدید است که اواخر بهار امسال برای اولین بار ظاهر شد و اغلب نیز به همراه باج افزار مشهور و قدیمی تر Petya مشاهده می شود.

باج افزار Petya به روش متفاوتی اقدام به رمزگذاری کامپیوتر قربانیان خود می کند. این باج افزار ابتدا به سراغ بخش MFT یا Master File Table دیسک سخت می رود و آنرا رمزگذاری می کند. ولی چون برای دسترسی به MFT نیاز به مجوزهای Admin است، در صورتیکه باج افزار این مجوز را به دست نیاورد، باج افزار Mischa را که به همراه دارد، فعال می کند. باج افزار کمکی Mischa نیز مانند اغلب باج افزارهای امروزی، فایلهای خاصی را بر روی کامپیوتر قربانی انتخاب کرده و رمزگذاری می نماید.

علاوه بر این دزدی شاه دزدان، گردانندگان Petya و Mischa یک طرح مشارکت نیز به راه انداخته اند و با جذب دیگر تبهکاران سایبری و شراکت با آنها بر سر باج های به دست آمده، از آنها برای توزیع هر چه بیشتر و گسترده تر این دو باج افزار کمک می گیرند. بدین ترتیب باید در انتظار آلودگی های بیشتر به این دو باج افزار بود.