عرضه ابزار رمزگشایی برای باج‌افزار مرموز ThiefQuest

محققان موفق به ساخت ابزاری برای رمزگشایی رایگان فایل‌های رمز شده توسط باج‌افزار ThiefQuest شدند.

ThiefQuest که به تازگی مورد توجه منابع امنیتی قرار گرفته از جهاتی متفاوت از هم‌قطاران خود است.

به گزارش شرکت مهندسی شبکه گستر، ThiefQuest از محدود باج‌افزارهایی است که برای آلوده‌سازی دستگاه‌های با سیستم عامل macOS توسعه داده شده است.

دیگر نکته‌ای که ThiefQuest را از باج‌افزارهای متداول متمایز می‌کند توانایی آن در سرقت اطلاعات قربانی است. از جمله قابلیت‌های این باج‌افزار می‌توان به موارد زیر اشاره کرد:

• ثبت کلیدهای فشرده شده توسط کاربر
• تزریق کد در حافظه
• تکنیک‌های ضدتحلیل
• نصب یک شل موسوم به معکوس با هدف اجرای از راه دور فرامین

ThiefQuest مجهز به یک اسکریپت مبتنی بر Python است که اقدام به جستجوی فایل‌های با قالب خاص در پوشه Users/ کرده و پس از کدبندی (Encoding) با الگوریتم Base64 آنها را به سرورهای فرماندهی (C2) ارسال می‌کند. تصاویر، اسناد Word، گواهی‌نامه‌های SSL، گواهی‌نامه‌های امضای کد، کد منبع (Source Code)، پروژه‌ها، صفحات گسترده، بانک‌های داده و کیف‌های ارز رمز در فهرست فایل‌های مورد نظر این باج‌افزار قرار دارند.

همچنین ThiefQuest ویروسی واقعی بوده و قادر است تا با دست‌درازی به فایل‌های اجرایی معتبر و درج کد مخرب در آنها، آن فایل‌ها را نیز به ناقل خود تبدیل کند.

این باج‌افزار که در ابتدا توسط محققان EvilQuest نامگذاری شد بعدتر به دلیل وجود یک بازی ویدئویی با همین نام به ThiefQuest تغییر نام داده شد.

در اطلاعیه باج‌گیری ThiefQuest گفته می‌شود که قربانی 72 ساعت برای پرداخت باج 50 دلاری به منظور بازگرداندن فایل‌ها به حالت اولیه فرصت دارد.

بر خلاف سایر باج‌افزارها در اطلاعیه ThiefQuest هیچ راه تماسی با مهاجمان درج نشده است. ضمن اینکه نشانی کیف بیت‌کوین آن نیز برای تمامی قربانیان یکسان بوده و بنابراین به نظر نمی‌رسد که هدف مهاجمان آن حداقل در این نسخه اخاذی بوده باشد.

ThiefQuest برای رمزگذاری از یک روال اختصاصی رمزگذاری متقارن (Symmetric) بر مبنای الگوریتم آسیب‌پذیر RC2 استفاده می‌کند.

تابع اصلی رمزگذاری نیز از کلیدی متقارن با طول 128 بایت که به روشی ناامن کدبندی شده بهره می‌گیرد. همچنین به فایل رمزگذاری شده توسط این باج‌افزار بلوکی حاوی کلیدهای رمزگذاری/رمزگشایی و کلیدی که برای کد کردن آن استفاده شده افزوده می‌شود. به عبارت دیگر کلید در قالب متن ساده (Clear Text) نگهداری شده و با استخراج آن در فرایندی ساده امکان رمزگشایی فایل‌ها فراهم می‌گردد.

محققان SentinelOne نیز با بهره‌جویی از این باگ‌ها موفق به ساخت ابزار برای بازگرداندن فایل‌های رمزگذاری شده توسط ThiefQuest شده‌اند. ابزار مذکور در لینک زیر قابل دریافت است:

• https://github.com/Sentinel-One/foss/tree/master/s1-evilquest-decryptor

برخی محققان معتقدند که عملکرد باج‌گیری ThiefQuest صرفاً ترفندی برای مخفی کردن ذات جاسوسی آن است. در اکثر مواقع پس از آلوده شدن دستگاه به باج‌افزار، کاربر اقدام به فرمت دستگاه و نصب مجدد سیستم عامل و در صورت وجود نسخه پشتیبان، بازگردانی آن می کند. به همین خاطر ممکن است که هیچگاه از سرقت شدن اطلاعات در زمان آلوده شدن سیستم به ThiefQuest مطلع نشود.

اما ایرادات متعددی به عملکرد و کدنویسی بخش باج‌افزاری ThiefQuest وارد است. این احتمال نیز مطرح است که این باج‌افزار در حالی که همچنان در مراحل توسعه خود بوده تصادفاً به دست محققان رسیده و ناخواسته مورد توجه قرار گرفته است. در این صورت دیر یا زود شاهد ظهور نسخه‌ای تکامل یافته از ThiefQuest خواهیم بود.

توضیح اینکه نمونه‌های مورد بررسی در این گزارش با نام‌های زیر توسط محصولات مک‌آفی قابل شناسایی است:

• Generic .lu
• OSX/Filecoder.a