باجگیرهای جدید و ساده ولی همچنان مخرب و مزاحم

به تازگی بدافزاری از نوع باجگیرها (Ransomware) شناسایی شده که بصورت یک batch file ساده اجرا می شود و از نرم افزار “متن باز” GnuPG برای رمزگذاری فایلهای قربانیان خود استفاده می کند.

این بدافزار ساده که با رمزگذاری فایلهای کاربر از او درخواست پول می کند تا فایلهای او را به حالت اولیه بازگرداند، نشان می دهد که بدافزارنویسان احتیاجی به دانش فنی زیادی برای ساخت این بدافزارهای باجگیر ندارند، وقتی که پیشرفته ترین روش های رمزگذاری به فراوانی و رایگان در دسترس است.

کارشناسان شرکت امنیتی Symantec اخیراً برنامه مخربی را شناسایی کرده اند که محتوای اصلی آن، تنها یک batch file است. پیام ها و منوهای این برنامه مخرب به زبان روسی است.

با اجرای batch file یک کلید عمومی (Public Key) از نوع 1024 بیت RSA از یک سرور دریافت شده و به نرم افزار GnuPG وارد می شود. نرم افزار GnuPG از خط فرمان (Command-line) اجرا شده و فایلهای مورد نظر را بر روی کامپیوتر قربانی رمزگذاری می کند. GnuPG نسخه “متن باز” (Open Source) استاندارد رمزگذاری OpenPGP است.

اکنون اگر کاربر بخواهد که فایلهای رمزگذاری شده اش را بازگشایی کند، احتیاج به کلید خصوصی (Private Key) دارد که نزد بدافزارنویس یا باجگیر است و برای گرفتن آن باید پول پرداخت کند.

بر اساس فناوری OpenPGP، همواره یک جفت کلید مرتبط با یکدیگر تولید می شود. یک کلید عمومی است و کلید دیگر بطور خصوصی نگهداری می شود. فایلهایی که با کلید عمومی رمزگذاری می شوند، تنها با کلید خصوصی جفت خود قابل رمزگشایی است.

شرکت Symantec این بدافزار را Trojan.Ransomcrypt.L نامگذاری کرده است. نکته ای که Ransomcrypt را از دیگر بدافزارهای باجگیر متمایز می کند، سادگی بدافزار است و اینکه از یک نرم افزار رایج و غیرمخرب برای اهداف خود استفاده کرده است و سعی نکرده تا روش رمزگذاری و رمزگشایی ویژه ای برای خود داشته باشد.

هم اکنون بدافزارهای باجگیر بسیار پیچیده و حرفه ای در دنیا فعال هستند و به مبالغ کلان هم دست به دست به فروش می رسند. ولی بدافزار Ransomcrypt ثابت کرده که ساخت یک بدافزار با کمترین هزینه و پایین ترین سطح دانش فنی امکان پذیر است. امکانی که باعث افزایش بیشتر و سریعتر بدافزارهای باجگیر جدید در آینده خواهد شد.