Ransom32، باج افزاری همه فن حریف!
در سال 2015، نویسندگان و گردانندگان باج افزارها از روش هایی نوین جهت اخاذی بیشتر از طریق این نوع بدافزارها استفاده کردند. از جمله آنها می توان به فروش باج افزار بعنوان یک سرویس (Ransomware as a Service) اشاره کرد.
برای نمونه، در باج افزارهایی همچون TOX،وFakben و Radamant، پس از دریافت فایل باج افزار سفارشی شده و انتشار آن توسط متقاضی، سهمی از مبلغ اخاذی شده از قربانی در اختیار سرویس دهنده قرار می گیرد.
اکنون در نخستین روزهای 2016، برخی منابع، خبر از انتشار گونه ای جدید با نام Ransom32 داده اند که علاوه بر فروش آن به صورت سرویس، بطور کامل به زبان JavaScript توسعه داده شده است.
هر چند تا کنون تنها نمونه تحت Windows آن مشاهده شده اما کدهای JavaScript عملاً در تمامی بسترهای Windows،وMac و Linux قابل اجرا هستند. موضوعی که نشان می دهد نفوذگران یک گام دیگر به چشم انداز “یکبار بنویس و همه را آلوده کن” نزدیک تر شده اند.
به گزارش شرکت مهندسی شبکه گستر، این باج افزار از چارچوب NW.js و دستورات JavaScript بهره می گیرد. فایل نصبی Ransom32 با اندازه 22 مگابایت یک فایل خود بازشونده از نوع RAR است که پس از باز شدن اندازه آن به بیشتر از 67 مگابایت افزایش می یابد.
Ransom32 فایل های با پسوندهای خاص را با استفاده از الگوریتم AES رمزنگاری می کند. با توجه به اینکه NW.js یک چارچوب نرم افزاری مجاز تلقی می شود فایل اصلی Ransom32، حداقل تا این لحظه، توسط بسیاری از ضدویروس ها شناسایی نمی شود.
باج گیران تازه کار قادرند با مراجعه به سایت Ransom32 از طریق سامانه TOR و ثبت یک نشانی Bitcoin، باج افزار مورد نظر خود را پیکربندی و نسخه سفارشی شده آن را دانلود کنند. گردانندگان این سرویس پس از کسر 25 درصد از باج پرداخت شده توسط قربانی، باقی مبلغ را به حساب Bitcoin باج گیر واریز می کنند.
همچنین، سفارش دهنده می تواند به ازای هر نشانی Bitcoin یک باج افزار سفارشی شده جدید را دانلود کند.
علاوه بر چند بستری بودن Ransom32، این باج افزار یک قابلیت مخرب دیگر را نیز در خود دارد و آن امکان اجرا شدن حتی با حق دسترسی محدود کاربر است.
با توجه به افزایش چشمگیر شمار بدافزارهای از نوع باج افزار، شرکت مهندسی شبکه گستر اقدام به برگزاری کارگاهی آموزشی با عنوان “گروگان گرفته نشوید” نموده است. هدف از برگزاری این کارگاه، بررسی باج افزارها و ارائه راهکار برای مقابله با این نوع بدافزارها می باشد.
علاقمندان می توانند برای دریافت اطلاعات بیشتر و شرکت در کارگاه “گروگان گرفته نشوید” به نشانی events.shabakeh.net مراجعه کرده یا با شماره ۴۲۰۵۲ (۰۲۱) گروه تحقیق، توسعه و آموزش (داخلی 7) تماس حاصل نمایند. ثبت نام در این این کارگاه برای مشتریانشرکت مهندسی شبکه گستر رایگان می باشد.
