اخیرا باجافزار جدیدی در پوشش نرمافزار تغییر آیپی سایفون در کشور منتشر شده است که با زمینهی فارسی از کاربران باجگیری میکند.
به گزارش مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای – CERTCC) باجافزار جدیدی در کشور منتشر شده که امکان آلوده شدن کامپیوتر کاربران به آن بیشتر است. این باجافزار که Tyrant نام دارد، برای اولین بار در تاریخ ۱۶ اکتبر توسط محقق امنیتی شرکت جی دیتا کشف شد. تایرنت در پوشش نرمافزار تغییر آیپی سایفون سعی در فریب کاربران بهمنظور نصب آن دارد و بعد از نصب، از کاربر باجگیری میکند.
همانطور که در تصاویر بالا مشاهده میکنید، تایرنت به زبان فارسی پیغام زیر را برای کاربر به نمایش درمیآورد:
اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باجافزار تایرنت آلوده شده و تمام فایلها، پوشهها و درایوهای سیستم شما درگیر و توسط الگوریتمهای بسیار پیچیده (ایبیاسآی و ایایاس) رمزنگاری و کلید رمزگشایی فایلهای شما بهصورت خودکار برای ما ارسال شده است.
این بدافزار ابتدا دسترسی کاربر را از سیستم قطع و سپس اقدام به رمزگذاری فایلهای وی میکند، در نهایت برای پرداخت ۱۵ دلار، ۲۴ ساعت به کاربر مهلت میدهد و از آنجایی که صفحه به زبان فارسی است، تنها کاربران ایرانی قربانی آن هستند. این باجافزار دو درگاه exchanging.ir و webmoney724.ir را برای پرداخت باج به کاربران پیشنهاد میدهد. علاوه بر این، تایرنت دو راه ارتباطی ایمیل و آیدی تلگرام را در دسترس کاربران قرار داده است. البته این نکته بهوضوح قابل درک است که سازندهی این باجافزار از قابلیت ردگیری آیدی تلگرام و کشف شماره مرتبط با آیدی بیخبر بوده است و در غیر این صورت، هرگز این راه ارتباطی را در دسترس همگان قرار نمیداد، چراکه امکان ردیابی به این شکل بسیار بالا است. (تابستان سال گذشته گروهی موسوم به Rocket Kittens با استفاده از یک آسیبپذیری توانستند به ارتباط بین آیدی کاربران تلگرام و شمارههای آنها دست یابند که این کار پیدا کردن شماره با داشتن آیدی تلگرام را میسر میساخت.)
تایرنت مبتنی بر باجافزار DUMB است که پیشتر کاربران ترکزبان را هدف قرار داده بود. نسخهی اولیهی باجافزار دامپ از کدنویسی ضعیفی برخوردار بود که پس از بسته شدن صفحهی باجافزار توسط کاربر، فایل رمزگذاری شده، بهصورت خودکار کدگشایی میشد. باجافزار دامپ مبتنی بر کد اثبات مفهوم یا proof-of-concept است که در پایگاه گیتهاب نیز منتشر شده است. تایرنت مبتنی بر سیستمعامل ویندوز است و تقریبا نیمی از آنتیویروسها قادر به شناسایی آن هستند.
بر اساس تحقیقات کارشناس امنیتی MalwareHunter ، از آنجایی که باجافزار تایرنت به فارسی ترجمه شده، نسبت به فایل اصلی شامل تغییراتی است که رمزگشایی آن را آسان میکند. علاوه بر این، مرکز ماهر نیز گزارش مشابهی مبنی بر ضعیف بودن کدگذاری این باجافزار منتشر کرده است. این مرکز در خصوص تایرنت گفت:
بر اساس بررسیهای اولیه متوجه شدیم که این نسخه مقدمهای برای یک حملهی بزرگ است؛ چراکه این نسخه از ضعفهایی مثل رمزگذاری ضعیف، عدم موفقیت در رمزگذاری فایلهای کاربر و موفق نبودن عملکرد آن پس از ریبوت سیستم توسط کاربر برخوردار است. با این وجود به نظر نمیرسد که تاکنون از محل این باجافزار خسارت قابل توجهی ایجاد شده باشد.
بر اساس گزارش مرکز ماهر، با توجه به ماهیت حمله، استفاده از دیگر روشهای مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظتنشده نیز محتمل است. امروزه استفاده از اتصالات RDP افزایش یافته که خطر نصب باجافزار در سیستم کاربران را به دنبال دارد؛ از اینرو بسیاری از باجافزارها از ارتباط RDP برای آلوده کردن سیستم کاربران استفاده میکنند.
راهکارهای پیشگیری:
1-از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک پرهیز شود.
2-از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها خودداری شود.
3-دقت ویژه در بهروزرسانی دائم سیستم عامل و آنتی ویروس
4-دقت ویژه در پرهیز از استفاده از دسترسی راه دور و رعایت دقیق تمهیدات امنیتی در صورت عدم امکان حذف دسترسی راه دور
5-عدم استفاده از مجوز دسترسیAdministrator روی سیستمهای کاربران سازمان .
منبع:zoomit