ايتنا - چگونه یک پروژه آموزشی به باج‌افزار خطرناک Ded Cryptor تبدیل شد!؟

به تازگی انگلیسی‌زبانان و روسی‌زبانان مورد حمله یک تروجان باج‌افزار به نام Ded Cryptor شدند. این باج‌افزار حریص خواستار حدود ۲ بیت کوین(معادل ۱.۳۰۰$( به عنوان باج شد. متاسفانه هیچ راهکار رمزگشایی که قابل دسترس برای بازگرداندن فایل‌های گروگان گرفته توسط Ded Cryptor باشد، وجود نداشت.

هنگامی که یک کامپیوتر با Ded Cryptor آلوده شد، نرم‌افزار مخرب تصویر زمینه سیستم یا همان والپیپر سیستم را به یک عکس ترسناک بابانوئل همانند تصویر زیر تغییر می‌دهد. یک تصویر ترسناک و تقاضای باج، چیزی شبیه بقیه باج‌افزارها، درست است؟ اما Ded Cryptor یک داستان واقعا جالب دارد که دلهره‌آور است.

این باج‌افزار در اختیار همه است!
آغاز ماجرا توسط یک محقق امنیتی از ترکیه بنام Utku Sen بود که بخشی از یک باج‌افزار را ساخت و سورس کد آن را در محیط آنلاین منتشر ساخت. هرکسی می‌تواند آن را از GitHub دانلود کند، GitHub وب‌سایتیست که توسعه‌دهندگان برای همکاری در پروژه‌ها استفاده می‌کنند. (البته این سورس کد بعدها پاک شد، در ادامه دلیل آن را می‌خوانیم).

ساخت یک سورس کد آزاد که در دسترس مجرمانی باشد که بدون شک از این کد برای cryptorهای خود استفاده خواهند کرد(که همینطور هم شد)، یک ایده انقلابی بود. با این حال Sen که یک هکر کلاه سفید است، احساس کرد که هر متخصص امنیت سایبری باید درکی از طرز تفکر مجرمان سایبری و چگونگی کد زدن آنها داشته باشد. او معتقد بود روش غیر معمولش به اشخاص خوب برای مخالفت با اشخاص بد کمک خواهد کرد.

در پروژه اخیر که پروژه باج‌افزار اشک پنهان نام داشت، بخشی از آزمایش Sen بود. از همان ابتدا مقصود Sen برای آموزش و پژوهش بود. با گذشت زمان او نوعی از باج‌افزار را توسعه داد که به صورت آفلاین کار می‌کرد و پس از آن EDA2 مدلی قوی‌تر آن را توسعه داد.

EDA2 رمزگزاری نامتقارن بهتری نسبت به باج افزار اشک پنهان داشت. این باج افزار می توانست با یک دستور و کنترل سرور، ارتباط برقرار کند و رمزگزاری کلید را به آنجا انتقال دهد و یک عکس ترسناک را به قربانی نشان دهد.

EDA۲ هم در GitHub منتشر شد. که تعداد زیادی توجه و انتقاد را برای Sen به ارمغان آورده است. با این کد منبع آزاد در دسترس، مجرمان سایبری که تا به حال به منبع کد درستی دسترسی نداشته‌اند می‌توانند از کد منبع آزاد باج‌افزار Sen برای بدست آوردن پول‌های مردم استفاده کنند. آیا Sen این موضوع را نمی‌دانست؟

چرا Sen به این موضوع آگاه بود و به همین خاطر برای باج‌افزارش backdoor در نظر گرفته بود که به او این امکان را می‌داد تا کلید رمزگشایی را پس بگیرید. این بدان معنی است که اگر Sen متوجه می‌شد که شخصی از باج‌افزارش برای اهداف منفی استفاده می‌کند، این امکان برایش وجود داشت که URL سرور کنترل را به منظور دستیابی به کلید‌ها بدست آورد و آنها را به قربانیان بدهد. مشکلی در این جا وجود داشت که برای فایل‌های رمزگزاری شده آنها، قربانیان باید در مورد هکر کلاه سفید مطمئن می‌شدند و از او درخواست کلید می‌کردند و اکثریت قربانیان هرگز نام Utku Sen را نشنیده بودند.

کسی که باج‌افزار را ساخته باید باج بپردازد
البته رمزگزارهایی که از اشک پنهان و سورس کد EDA2 ایجاد شده‌ اند مدت زیادی نیست که آمده‌اند. Sen با تعداد زیادی از باج‌افزارهای موفق و غیر موفق سر و کار داشته است: او کلید را منتشر کرد و منتظر ماند تا قربانیان آن را پیدا کنند. اما در مورد رمزگزارهایی که از سورس کد EDA2 ایجاد شده‌اند همه چیز به خوبی پیش نرفت.

Magic باج‌افزاری است که متکی بر EDA2 بود و درست مانند نسخه اورجینال به نظر می رسید. هنگامی که Sen از وجود این باج افزار باخبر شد، تلاش کرد تا کلید رمزگشایی مانند قبل بیابد (از طریق backdoor)، اما هیچ راهی برای آن وجود نداشت. مجرمان سایبری با استفاده از Magic یک هاست رایگان برای فرمان و کنترل سرور انتخاب کرده بودند. زمانیکه ارائه‌دهندگان خدمات هاست با توجه به فعالیت‌های مخرب شکایتی دریافت می‌کردند، تمام حساب‌های کاربری مجرمان و تمام فایل‌هایشان پاک می شدند. هیچ شانسی برای گرفتن کلید رمزنگاری وجود نداشت.

داستان به اینجا ختم نمی‌شود. سازندگان Magic به Utku Sen رسیدند و مکالمات آن‌ها به بحثی طولانی و عمومی بسط داده شد. آن‌ها با ارائه پیشنهاد انتشار کلید رمزگشایی به شرط آنکه Sen سورس کد را از دسترس عموم پاک کند و همچنین ۳ بیت کوین پرداخت نماید شروع کردند. در آن زمان، هر دو طرف به ترک باج توافق کردند.

این مذاکرات به داستان جالبی ختم شد: آنها زمانی که متوجه شدند یک مرد تمام تصاویر نوزاد پسر خود را از دست داده است کلید رمزگشایی را منتشر ساختند.
در آخر، Sen،EDA2 و کد منبع اشک پنهان را از GitHub حذف کرد، اما برای این کار خیلی دیر شده بود. تعداد زیادی از مردم آن را دانلود کرده بودند. در ۲ فوریه ۲۰۱۶، کارشناس کسپرسکی Jornt van der Wiel در گزارش خود در مقاله SecureList نوشته بود که ۲۴ رمزگزار برپایه اشک پنهان و EDA2 وجود داشت. از آن زمان آن رقم افزایش یافته است.

Ded Cryptor چگونه پدیدار شد؟
Ded Cryptor یکی از زادگان آنها است که از سورس کد EDA2 استفاده می‌کند. اما کنترل سرور آن برای امنیت بیشتر آن با هاستی در Torاست. این باج‌افزار از طریق سرویسی که روی tor2web می باشد ارتباط برقرار می‌کند. و اجازه می‌دهد برنامه‌ها بدون استفاده از بروزر Tor، از این سرویس استفاده کنند.

Ded Cryptor از تکه‌های مختلف کدهای بازِ منتشر شده در GitHub ایجاد شده بود که آن را با هیولای فرانکنشتاین به یاد می‌آورند. سازندگان، سورس کد پروکسی سرور را از یکی دیگر از توسعه‌دهندگان GitHub قرض می گرفتند و کد درخواست ارسال نیز در ابتدا توسط یک شخص دیگر نوشته شده بود. یکی از جنبه‌های غیر معمول این نوع باج‌افزار این است که درخواست‌ها را به طور مستقیم به سرور ارسال نمی‌کند. به جای آن، یک سرور پروکسی بر روی کامپیوتر آلوده نصب و از آن استفاده می‌کند.

تا آنجا که ما می‌دانیم، توسعه‌دهندگان Ded Cryptor روسی‌زبان هستند. البته توجه داشته باشید که اولا درخواست باج به زبان روسی و انگلیسی نوشته می‌شود. دوما تحلیلگر ارشد باج‌افزار لابراتوار کسپرسکی Fedor Sinitsyn کد باج‌افزار را آنالیز کرد و مسیر فایل را پیدا کرد: C:\Users\sergey\Desktop\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb (به هر حال باج‌افزار Magic توسط مردم روسی‌زبان توسعه داده شده است).

متاسفانه، شناخت کمی در مورد DedCryptor گسترش یافته است. با توجه به شبکه امنیت کسپرسکی، فعالیت EDA2 در روسیه و بعد از آن چین، آلمان، ویتنام و هند همچنان وجود دارد.

باعث تاسف است که هیچ راه دسترسی برای رمزگشایی فایل‌های معیوبی که توسط Ded Cryptor رمزگزاری می‌شوند، وجود ندارد. قربانیان برای بازیابی اطلاعات خود می‌توانند از ۱ shadow copies سیستم عامل خود استفاده کنند. البته همیشه پیشگیری بهتر از درمان است.

کسپرسکی اینترنت سکیوریتی تمام تروجان ها را بر اساس اشک پنهان و EDA۲ تشخیص می دهد و هنگامی که کاربر با آن برخورد داشته باشد هشداری با عنوان Trojan-Ransom.MSIL.Tear می دهد. همچنین این محافظ عملیات تروجان را متوقف کرده و به آن ها اجازه نمی دهد که فایل های شما را رمزگزاری کند.

کسپرسکی‌توتال‌سکیوریتی به طور اتوماتیک از فایل‌های شما بک‌آپ می‌گیرد که می‌تواند در تمام موارد مفید عمل کند و از آلودگی باج‌افزار و مرگ ناگهانی هارددیسک جلوگیری کند.

۱. Shadow copy یا همان volume snapshot service تکنولوژی مبتنی بر ویندوزهای مایکروسافت بوده که یک کپی لحظه‌ای از فایل‌هایی که با آنها کار می‌کنیم گرفته می‌شود و کاربردش در مواقعی است که فایل‌های مورد نظرمان پاک شده‌اند.

منبع: کسپرسکی‌آنلاین