طراحی و تولید “باج افزار” جدید

یک گروه از بدافزار نویسان درحال طراحی و تولید بدافزار جدیدی از نوع باج افزارها (Ransomware) هستند که پس از رمزگذاری فایل های قربانی، از او درخواست باج برای بازگشایی فایل ها می کند.

براساس گزارش جدیدی که از سوی یک گروه از کارشناسان امنیتی داوطلب منتشر شده، این بدافزار جدید Power Locker نام دارد و به احتمال زیاد ایده اصلی آن از بدافزار مشهور CryptoLocker که در یکماه گذشته فعالیت گسترده ای از آن مشاهده شده، گرفته شده است.

همانند بدافزار Cryptolocker، این بدافزار جدید نیز از روش های رمزگذاری قوی استفاده می کند تا کاربر تحت هیچ شرایطی قادر به رمزگشایی نباشد و وادار به پرداخت باج درخواستی شود.

بدافزار جدید Power Locker علاوه بر قابلیت های مشابه CryptoLocker، امکانات بیشتری نیز به آن اضافه شده تا قربانیان را تحت فشار بیشتری قرار دهد.

همچنین براساس اطلاعات بدست آمده، طراحان Power Locker قصد فروش این بدافزار را دارند. توزیع گسترده بدافزار و آسان بدون استفاده از آن می تواند موج جدید و بزرگتری از آلودگی مشابه CryptoLocker به وجود آورد.

گروه کارشناسان امنیتی داوطلب که تحت نام MMD یا Malware Must Die فعالیت می کنند، با توجه به نزدیک بودن زمان تکمیل و عرضه بدافزار Power Locker در بازارهای سیاه و زیر زمینی، اقدام به اعلام عمومی و انتشار اطلاعیه درباره این بدافزار نموده اند.

طبق گزارشی که توسط طراح اصلی بدافزار Power Locker تهیه شده و گروه MMD نسخه ای از این گزارش را به دست آورده اند، این بدافزار فقط از یک فایل تشکیل شده که بر روی سیستم آلوده در شاخه Windows Temp قرار می گیرد. هنگامی که این فایل برای بار اول اجرا می شود، اقدام به رمزگذاری تمام فایل های کاربر بر روی دیسک های محلی و به اشتراک گذاشته شده، می نماید و تنها فایل های اجرایی و فایل های سیستم را به حال خود رها می کند.

هر فایل با استفاده از الگوریتم Blowfish و با کلید منحصر به فرد رمزگذاری می شود. سپس این کلیدها با استفاده از یک کلید RSA از نوع 2048 بیتی رمزگذاری می گردد. این کلید RSA بخشی از یک کلید Public-Private است که برای هر کامپیوتر قربانی منحصربه فرد می باشد. کاربر کامپیوتر رمزگذاری شده، کلید Public را در اختیار خواهد داشت ولی کلید Public RSA که برای بازگشایی کلیدهای Blowfish نیاز است، در اختیار گرداننده و کنترل کننده بدافزار Power Locker خواهد بود.

این مرحله از فعالیت Power Locker تقریبا مشابه بدافزار CryptoLocker است. ولی فعالیت بدافزار جدید، مرحله دوم هم دارد. پس از تکمیل مرحله رمزگذاری، Power Locker اقدام به از کار اندازی کلیدهای Escape و Windows می کند. همچنین امکانات مفیدی نظیر Task mg.exe ،regedit.exe cmd.exe ،explorer.exe را غیرفعال می کند.

پس با استفاده از قابلیت های Windows، یک Desktop دیگر ایجاد می کند و بر روی آن پیام باج خواهی خود را به نمایش در می آورد. بدافزار بطور مستمر کنترل می کند تا این Desktop دوم فعال باشد و بدین ترتیب مانع از فعالیت عادی کاربر می شود.

کلید Alt + Tab هم بی فایده بوده و به محض فعال شدن Desktop اصلی، بدافزار اقدام به فعال کردن Desktop دوم می کند.

بعلاوه، بدافزار Power Locker قادر به تشخیص محیط های قرنطینه، شبیه سازی شده و مجازی است تا مانع از اقدام ابزارهای امنیتی علیه بدافزار شود. همچنین تجزیه و تحلیل بدافزار را توسط کارشناسان امنیتی دشوار می سازد.

طبق اطلاعات به دست آمده، طراحان و سازندگان بدافزار Power Locker قصد فروش عمومی این بدافزار را به قیمت اندک 100 دلار دارند. بدین ترتیب، دسترسی به این بدافزار برای بسیاری از مجرمان سایبری و حتی افراد کنجکاو آسان خواهد بود.

باتوجه به تجربه اخیر از فعالیت CryptoLocker، در صورت آلوده شدن، خلاصی از این نوع بدافزارهای باجگیر بسیار دشوار و در عین حال می تواند پر هزینه باشد.

ضرب المثل پیشگیری بهتر از معالجه است، در اینجا نیز صدق می کند. در صورت نصب اصلاحیه های امنیتی برای سیستم عامل و دیگر نرم افزارهای کاربردی و با بکارگیری ابزارهای امنیتی به روز شده، احتمالا آلودگی به این نوع باج افزارها و دیگر بدافزارهای مشابه را کاهش می دهیم تا کمتر درگیر عواقب بعدی آن شویم.