شنبه ۰۹ مرداد ۹۵ ۰۸:۵۱ ۱۵ بازديد
| jornt عضو تيم تحقيقات جهاني و آناليز و متخصص باجافزار و رمزگزاري ميباشد. او در هلند زندگي ميكند و بيش از دو سال است كه براي لابراتوار كسپرسكي كار ميكند. ما به خوانندگان اين شانس را داديم تا هرگونه سوالي در مورد باجافزارها و رمزگزاري دارند از Jornt بپرسند و پاسخها در اين مورد كاملا شگفتانگيز بود. حقيقتا سوالات زيادي در پست گذاشته شده وجود داشت، بنابراين ما آنها را به دو دسته تقسيم كرديم. در اين پست Jornt به سوالات متعدد در مورد باجافزار پاسخ ميدهد و در پست بعدي وي در مورد رمزگزاري صحبت خواهد كرد.آيا شما فكر ميكنيد كه باجافزارها در آينده ما را نسبت به ديگر بدافزارها مثل ويروسهاي قديميتر و تروجانها بيشتر و بيشتر نگران خواهند كرد؟بله مطمئننا همينطور است. ما شاهد افزايش خانوادههاي جديد آنها هستيم و تهديدات هرروزه در حال بزرگتر شدن هستند. دليل رشد باجافزارها بخاطر درآمدزايي آنها است. مجرمي كه افراد را آلوده ميكند، درخواست باج كرده و قرباني باج ميپردازد. در اين صورت است كه قرباني كليد را دريافت كرده و قادر به رمز گشايي فايلهايش ميشود. معمولا مجرمان با قربانيان توسط چت صحبت ميكنند و براي اين كار نيازي بههيچگونه ارتباط اضافي و فعل و انفعالات ديگري نيست زيراكه كار آنها فقط درخواست باج است وبس! و افراد به طور واقعي در مقابل باجافزار بانكي قرار ميگيرند. چگونه ميتوانم از تاثيرات باجافزارها دوري كنم؟. هميشه آخرين آپديت نرمافزار خود را نصب كنيد.. هرگز بر روي لينك و فايل پيوست در ايميلهاي مشكوك كليك نكنيد.. پسوند فايلها را در ويندوز فعال كنيد (به طوري كه شما به جاي ديدن فايلpdf.exe.invoice، pdf. را ببينيد.). يك راهكار امنيتي به روز كانفيگ شده با فناوري هوشمند داشته باشيد.. و براي زماني كه دچار مشكل ميشويد يك بكآپ داشته باشيد و آنها را به صورت آفلاين ذخيره داشته باشيد يا فايلهاي خود را در يك اپليكيشن ابري با نسخه نامحدود ذخيره كنيد. (بنابراين حتي اگر فايلهاي رمزگزاري شده شما در يك درايو ذخيره شده باشند، زماني كه شما آنها را در يك ابر ذخيره كنيد ميتوانيد به راحتي آنها را بازيابي كنيد).به عنوان يك شخص، من بيشتر درگير باجافزارها ميشوم يا شركتها؟هدف باجافزارها تمامي افراد است. گاهي اوقات شركت خاصي را مورد حمله قرار ميدهند. اما اغلب، ما شاهد درگيري افراد با ايميلهاي اسپمشده هستيم. از سويي ديگر، شركتهاي بزرگ حاضر به پرداخت باج نميشوند: آنها معمولا براي بكآپهاي خود جايي را در نظر ميگيرند. احتمال پرداخت باج در شركتهاي كوچك بيشتر است زيراكه بازگرداني توسط بكآپ براي آنها هزينه بيشتري را نسبت به پرداخت باج به همراه خواهد داشت.چه زماني ممكن است فايلهايي كه رمزگزاري شدهاند، رمزگشايي شوند؟در موارد زير چنين چيزي امكانپذير است:• سازندگان نرمافزارهاي مخرب گاهي اشتباه مرتكب ميشوند و قفل را ميشكنند. كه در دو مورد باجافزار Petya و CryptXXX شاهد رمزگشايي توسط سازندگان آن بوديم. متاسفانه نميتوانم به شما ليستي از اشتباهاتي كه سازندگان باجافزار به آن دچار شدهاند را بدهم زيرا كه اين ليست به آنها كمك ميكند تا دوباره درگير آن اشتباهت نشوند. اما به طور كلي، رمزگشايي فايلها كار راحتي نيست. اگر تمايل داريد در مورد رمزگزاري فايلها و اشتباهات افراد در اين موارد بيشتر بدانيد، من توصيه ميكنم چالش رمزگزاري Matasano را سرچ كنيد.• سازندگان نرمافزارهاي مخرب بعد از ابراز تاسف كليد يا كليد مستر را منتشر ميكنند. كليد باجافزار تسلا كريپيت نمونهاي است كه نظارهگر آن بوديم.• سازمانهاي اجراي قانون يك سرور را با كليدهايش به دست ميگيرند و آنها را اشتراكگذاري ميكنند. سال گذشته، با استفاده از كليدهاي بازيابي توسط پليس هلند، ما يك ابزار رمزگشا براي قربانيان CoinVault ايجاد كرديم.گاهي اوقات پرداخت باج جواب ميدهد ، اما هيچ تضميني براي رمزگشايي فايلهاي شما هنگام پرداخت باج وجود ندارد. علاوه بر اين، اگر شما باج بپردازيد، از كسب و كار مجرمان سايبري حمايت كردهايد. در نتيجه شما در برابر افزايش تعداد باجافزارها و تعداد قربانيان توسط باجافزارها مسئول خواهيد بود.براي دستورالعمل برخورد با CryptXXX، شما ميگوييد كه دركنار فايلهاي رمزگزاري شده، شما به فايلهاي رمزگزارينشده هم نياز داريد. به چه نرمافزاري اشاره دارد؟ و اگر فايلهاي رمزگزاري نشده را داشته باشيم ديگر نيازي به ابزار شما نيست؟سوال بسيار خوبي است و ممنونم از مطرح كردن چنين سوالي! اين نشان ميدهد كه ما بايد در آينده واضحتر كار كنيم. اين باجافزار تمام فايلهاي شما را با همان كليد رمزگزاري ميكند. بنابراين اگر شما ۱۰۰۰ فايل رمزگزاري شده داشته باشيد و از بين تمام اين فايلها تنها يك فايل اورجينال را در جايي ديگر ذخيره داشته باشيد و شما تنها يك فايل را به ابزار رمزگشاي ما بدهيد، ما ميتوانيم با استفاده از كليد بازگشايي فايلها را بازيابي كنيم و ۹۹۹ فايل ديگر شما رمزگشايي شود. با اين حال وجود فايل اصلي نياز است.بدافزاري كه فايلها را رمزگزاري ميكند تنها نوع باجافزارها است؟خير، باجافزاري كه كامپيوتر را قفل ميكند نيز وجود دارد. با اين حال، راه دور زدن و يا حذف اين نوع آسانتر است. به همين دليل است كه روز به رو از محبوبيت آن كاسته ميشود. اگر شما به اين موضوع علاقمند هستيد و اطلاعات بيشتري در مورد آن ميخواهيد وبلاگ ما را دنبال كنيد.طبق چيزي كه در مطبوعات بينالمللي ديده ميشود، پيدا كردن باجافزارها كار بسيار دشواري است و مثل بازي موش و گربه ميماند. شما براي آنها راهكار داريد و به مقابله با آنها ميپردازيد. اين حقيقت دارد؟ حقيقت اينگونه نيست. سيستم ما كه نظاره گر رفتار فرآيندهاي در حال اجرا است، ميتواند بسياري از حملات جديد باجافزارهاي مهاجم را هنگام مواجه شدن، شناسايي كند، حتي اگر آنها باجافزارهاي ناشناخته باشند. بله مواردي هم تا به حال وجود داشته است كه توسط سيستم نظاره گر ما شناسايي نشده اند.مجرمان تقضاي پرداخت در بيتكوين ميكنند، كه رديابي آن بسيار دشوار است، آيا ممكن است اين مجرمان را رديابي كرد و به آنها رسيد؟حقيقتا رديابي يك معامله بيتكويني دشوار نيست. معاملات در Blockchain ثبت ميگردد. اين ماهيت بيتكوين است كه بتوانيد هرگونه معاملهاي را رديابي كنيد. شما نميدانيد كه چه كسي در آن سوي معامله نشسته است. اما سازمانهاي اجراي قانون ميتوانند رد حسابها را بگيرند. هرچند كه آن ها هم نياز دارند كه بدانند كه پول متعلق به چه كسي بوده است.آميزنده بيتكوين به خنثيكننده اثر رديابي معروف است. فكر ميكنم كه اين آميزنده به عنوان ماشيني است كه شما را در بين بيتكوينهاي زيادي قرار ميدهد و اين بيتكوينها چندين بار بين صاحبان ردوبدل ميشود و اين عملكرد باعث ميشود تا شناسايي آن سختتر شود. و در آخر، ما متوجه نخواهيم شد كه كدام بيتكوين را بايد شناسايي كرد. و شما ميتوانيد فقط حدس بزنيد، كه اين اتفاق زياد رخ ميدهد.تحقيقات گوناگوني بر روي اين موضوع صورت گرفته است، (شما ميتوانيد تعداد زيادي از آنها را در گوگل سرچ كنيد) و اين تحقيقات نشان ميدهد رديابي گاهي اوقات امكانپذير است. به طور مختصر، گاهي اوقات ممكن است تراكنشهاي يك كيف پول را رديابي كرد، اما اين به راحتي انجام نميگيرد حتي زمانيكه شما كيف پول را پيدا كنيد، بورس بيتكوين بايد از طريق قانون، اعتبار صاحب كيف پول را فاش كند.چند سال براي كشف و پيدا كردن سازندگان CoinVault زمان برد؟داستان CoinVault از زماني آغاز شد كه Bart از تيم آنتي ويروس پاندا در توئيتر خود اعلام كرد نمونه هاي اضافي از CoinVault را يافته است. من متوجه شدم كه دو عدد از اين نمونهها CoinVault نيستند اما به طور واضحي به آن ربط داشتند. ما تصميم گرفتيم كه بلاگي در اين مورد بنويسيم و جدول زماني از تكامل CoinVault را تهيه كنيم. هنگامي كه ما ۹۰% از پست را كامل كرديم، براي (NHTCU) واحد ملي جرائم تكنولوژي اين آمار را ارسال كرديم.زماني كه اين مقاله به پايان رسيد، ما با توجه به بعضي راهنماييها به دو چيز مشكوك شديم. طبيعي است كه ما اين اطلاعات را با NHTCU در ميان گذاشتيم. بيشتر از يك ماه زمان براي كشف آن صرف شد هرچند البته تمام زمان ما صرف تحقيقات و بدست آوردن اطلاعات براي نوشتن وبلاگ و كار كردن روي CoinVault نشد. بعد از منتشر شدن پست وبلاگ، كه NHTCU بيشتر از ۶ ماه بر روي اين مورد تحقيق كرده بود، سرانجام به دستگيري مجرمان در ماه سپتامبر سال گذشته منجر شد. سوال بسيار خوبي است، اما پاسخش كمي سخت است. ما تنها قادر هستيم آنها را رديابي كنيم. به عنوان مثال، تمام معاملات بيتكوين به يك جيب (حساب) ختم ميشود يا زماني كه پليس يك سرور فرماندهي را تصاحب كند، تنها اطلاعات پرداخت بر روي آن ديده ميشود. اما اين راه يك ايده به شما ميدهد، اجازه دهيد بگوييم مجرمان توانسته اند ۲۵۰۰۰۰ كاربر را آلوده كنند (اين برآورد حاصل گفتگو با كمپانيهاي بزرگ ميباشد). فرض ميكنيم كه هركدام از آن ها حدود ۲۰۰$ براي رمزگشايي فايلهاي خورد پرداخت كرده باشند (متوسط پرداخت باج ۴۰۰$ است) . اگر تنها ۱% از قربانيان آلوده باج پرداخت كرده باشند، مبلغ پولي كه عايد مجرمان شده است حدود ۵۰۰۰۰۰$ است.آيا ممكن است يك كامپيوتر آلوده در يك شبكه محلي به گسترش باجافزار از طريق شبكه به ديگر كامپيوترهايي كه همان سيستم عامل را دارند را بپردازد؟ يك مدل از باجافزار ميتواند سيستمعاملهاي مختلف را تحت تاثير قرار دهد؟براي قسمت اول سوال بايد عرض كنم كه اگر باجافزار داراي قابليت گسترش(باجافزارهاي كِرمي)باشد، بله ميتواند در شبكه پخش شود. براي مثال، Zcryptor ، SamSam دو نمونه از خانواده باجافزارها هستند كه قابليت گسترش را دارند.پاسخ قسمت دوم سوال را اينگونه مطرح ميكنم: بله، يك مدل از باجافزارها ممكن است چندين سيستم عامل را آلوده سازد، البته اگر هدف آن وب سرور باشد. به عنوان مثال: باجافزار مي تواند سيستم مديريت محتواي يك سرور در حال اجرا را در PHP مورد هدف قرار دهد. پس باجافزار ميتواند ويندوز كامپيوتر را كه يك وب سرور با PHP نصب شده دارد را آلوده كند. و سپس مي تواند قسمتهاي ديگر سرچ اينترنت را به منظور آلوده سازي كامپيوتر، اسكن كند. كامپيوتر بعدي ميتواند سيستم عامل لينوكس داشته باشد اما با وب سرور PHP. اگر بخواهم به طور خلاصه مطرح كنم پاسخم بله است، باجافزار چند پلتفرمي هم وجود دارد.هفته آينده Jornt به سوالات شما در مورد رمزگزاري پاسخ خواهد داد. پس به گوش باشيد.منبع: كسپرسكي آنلاين |  |
