ایتنا - هر روزی که میگذرد مدلهای مختلف و ورژنهای جدید باجافزارها بدون هیچ توقفی منتشر میشوند.
شنبه ۱۷ مهر ۱۳۹۵ ساعت ۱۲:۵۴
رمزگشایی فایلهایی که توسط باجافزار جدید MarsJoke/Polyglot رمزنگاری شدهاند
هر روزی که میگذرد مدلهای مختلف و ورژنهای جدید باجافزارها بدون هیچ توقفی منتشر میشوند. سازندگان بدافزارها از این بابت مطمئن هستند که نرمافزارهای مخرب آنها به راحتی همهگیر میشود و از ورود آن به سیستمهای قربانیان هیچ واهمهای ندارند به همین دلیل است سازمانهای اجرای قانون توجه بیشتر و بیشتری به این مشکل و رفع آن دارند.
در واقع، نسخههای زیادی از باجافزارهای از رده خارج وجود دارند که سازندگان دوباره شروع به تکرار آنها میکنند و یا اینکه آنها را کپی میکنند. به عنوان مثال تروجانهایی که به تازگی با آنها آشنا شدیم همانند Trojan-cryptor، Polyglot، aka MarsJoke ، ورژنهای دیگر باجافزار ننگین از کار افتاده CTB-Locker هستند.
شما میتوانید رد کامل CTB-Locker را در ظاهر باجافزار Polyglot مشاهده کنید. رفتار Polyglot هم دقیقا یادآور تروجان قدیمیCTB-Locker است. آن هم دقیقا مثل دیگر تروجانها پس ضمینه دسکتاپ را به همان شیوه تغییر داده و مثل CTB-Locker اجازه میدهد که قربانیان ۵ تا از فایلهایشان را به عنوان اثبات کار باجافزار به صورت رایگان رمزگشایی کنند.
دستورالعمل Polyglot برای قربانیان هم دقیقا مثل CTB-Locker میباشد. متنی که دیده میشود به نظر میرسد که کپی پیست شده است. حتی پنجرهای که به صورت پاپآپ نمایان میشود هم به شکل همان است.
استفاده از الگوریتمهای رمزنگاری Polyglot هم با CTB-Locker یکسان است. البته جا دارد بگوییم که این الگوریتمها نسبتا قوی هستند.
باجافزار Polyglot عموما از طریق ایمیلهای اسپم وارد میشود، گفته شده که ایمیلهای شامل لینکهای مخرب به سمت برخی اسناد مهم هدایت میشوند. البته، هیچ سندی وجود ندارد و فقط یک آرشیو با یک فایل اجرایی مخرب است که موجود است. هنگامی که برنامه مخرب نصب شد، Polyglot به سرور فرمان و کنترل، اطلاعات مربوط به کامپیوتر آلوده را ارسال و پس از آن برای دریافت باج اقدام میکند. در این مورد، Polyglot خواستار ۰.۷ بیتکوین شده که معادل ۳۲۰$ است.
شاید تنها تفاوت بصری بین CTB-Locker و همزاد جدید آن این باشد که MarsJoke/Polyglot فایلهای رمزنگاریشده را با پسوند اصلی خود رها میکند در حالی که CTB-Locker پسوندها را تغییر میداد، که عموما به .ctbl یا .ctb2تغییر داده میشد.
با وجود شباهتهای آشکار بین Polyglot و CTB-Locker، آنها هر کدام دو گونه مجزا و متفاوت از نرمافزارهای مخرب هستند. آنها تقریبا هیچ کدی را به اشتراک نمیگذارند. کارشناسان ما فکر میکنند که با تقلید از CTB-Locker، سازندگان Polyglot راه جالب را انتخاب نکردهاند.
همانطور که ممکن است بدانید، هیچ راه شناخته شدهای برای رمزگشایی فایلهای رمزنگاری شده توسط باجافزار CTB-Locker بدون پرداخت باج وجود نداشت. اما بازهم، در این بررسی هم Polyglot و CTB-Locker مثل هم نیستند. و خوشبختانه، سازندگان Polyglot دچار یک اشتباه بزرگ برای تولیدکننده کلید شدند و به همین خاطر محققان کسپرسکی توانستند یک راه چاره برای این مشکل ایجاد کنند. لابراتور کسپرسکی ابزاری رایگان که میتواند تمام فایلهای آسیب دیده را رمزگشایی کند، را منتشر ساخت.
برای رمزگشایی فایلهای رمزنگاری شده توسط باجافزار Polyglot/MarsJoke، ابزاررایگان رمزگشای RannohDecryptor (ورژن ۱.۹.۳.۰ یا جدیدتر) آن را از اینجا دانلود و نصب کنید. این ابزار تمام فایلهای شما را بازیابی میکند.
حقیقتی که در مورد این نوع باجافزار گفته شد، نهایت شانس بود. سازندگان بدافزارها به طور مداوم خود را آداپته میکنند و خلقیات خود را بهبود میدهند. به عنوان مثال، بعد از اینکه ما مشکل باجافزار CryptXXX را سه مرتبه حل کردیم، سازنده آن در نهایت الگوریتم رمزنگار آن را تغییر داد تا ابزار ما نتواند روی آن تاثیرگذار باشد. شاید سازندگان Polyglot هم در آینده همین کار را عملی کنند. شما نمیتوانید از هر ابزار در دسترسی برای باجافزاری که با آن روبرو شده اید استفاده کنید. در واقع این ابزارها اختصاصی هستند.
بهترین راه برای در امان ماندن از باجافزارها، به دامانداختن آنها قبل از اینکه سیستم شما را آلوده سازند، میباشد و البته این کار با وجود آنتیویروسهای خوب و قوی امکان پذیر است. مثل Kaspersky Internet Security که دقیقا همین کار را انجام میدهد.
راهی دیگر برای در امان ماندن که ما همیشه توصیه میکنیم، بکآپگیری، جلوگیری از باز کردن فایلهای پیوست مشکوک و کلیک نکردن بر روی لینکهای مشکوک است که در واقع راهحلهای جلوگیری از آسیب محسوب میشوند.
منبع: کسپرسکیآنلاین
کد مطلب: 45860
