۰
plusresetminus
شنبه ۱۷ مهر ۱۳۹۵ ساعت ۱۲:۵۴

رمزگشایی فایل‌‌هایی که توسط باج‌افزار جدید MarsJoke/Polyglot رمزنگاری شده‌‌اند

ایتنا - هر روزی که ‌‌می‌گذرد مدل‌‌های مختلف و ورژن‌‌های جدید باج‌افزار‌ها بدون هیچ توقفی منتشر ‌‌می‌شوند.
رمزگشایی فایل‌‌هایی که توسط باج‌افزار جدید MarsJoke/Polyglot رمزنگاری شده‌‌اند


هر روزی که ‌‌می‌گذرد مدل‌‌های مختلف و ورژن‌‌های جدید باج‌افزار‌ها بدون هیچ توقفی منتشر ‌‌می‌شوند. سازندگان بدافزار‌ها از این بابت مطمئن هستند که نرم‌افزار‌های مخرب آن‌‌ها به راحتی همه‌گیر ‌‌می‌شود و از ورود آن به سیستم‌‌های قربانیان هیچ واهمه‌ای ندارند به همین دلیل است سازمان‌‌های اجرای قانون توجه بیشتر و بیشتری به این مشکل و رفع آن دارند.


در واقع، نسخه‌‌های زیادی از باج‌افزار‌‌های از رده خارج وجود دارند که سازندگان دوباره شروع به تکرار آن‌‌ها ‌‌می‌کنند و یا اینکه آن‌‌ها را کپی ‌‌می‌کنند. به عنوان مثال تروجان‌‌هایی که به تازگی با آن‌‌ها آشنا شدیم همانند Trojan-cryptor، Polyglot، aka MarsJoke ، ورژن‌‌های دیگر باج‌افزار ننگین از کار افتاده CTB-Locker هستند.
شما ‌‌می‌توانید رد کامل CTB-Locker را در ظاهر باج‌افزار Polyglot مشاهده کنید. رفتار Polyglot هم دقیقا یادآور تروجان قدیمی‌CTB-Locker است. آن هم دقیقا مثل دیگر تروجان‌‌ها پس ضمینه دسکتاپ را به همان شیوه تغییر داده و مثل CTB-Locker اجازه ‌‌می‌دهد که قربانیان ۵ تا از فایل‌‌هایشان را به عنوان اثبات کار باج‌افزار به صورت رایگان رمزگشایی کنند.

دستورالعمل Polyglot برای قربانیان هم دقیقا مثل CTB-Locker ‌‌می‌باشد. متنی که دیده ‌‌می‌شود به نظر ‌‌می‌رسد که کپی پیست شده است. حتی پنجره‌ای که به صورت پاپ‌آپ نمایان ‌‌می‌شود هم به شکل همان است.
استفاده از الگوریتم‌‌های رمزنگاری Polyglot هم با CTB-Locker یکسان است. البته جا دارد بگوییم که این الگوریتم‌‌ها نسبتا قوی هستند.

باج‌افزار Polyglot عموما از طریق ایمیل‌‌های اسپم وارد ‌‌می‌شود، گفته شده که ایمیل‌‌های شامل لینک‌‌های مخرب به سمت برخی اسناد مهم هدایت ‌‌می‌شوند. البته، هیچ سندی وجود ندارد و فقط یک آرشیو با یک فایل اجرایی مخرب است که موجود است. هنگا‌‌می‌ که برنامه مخرب نصب شد، Polyglot به سرور فرمان و کنترل، اطلاعات مربوط به کامپیوتر آلوده را ارسال و پس از آن برای دریافت باج اقدام ‌‌می‌کند. در این مورد، Polyglot خواستار ۰.۷ بیت‌کوین شده که معادل ۳۲۰$ است.
شاید تنها تفاوت بصری بین CTB-Locker و همزاد جدید آن این باشد که MarsJoke/Polyglot فایل‌‌های رمزنگاری‌شده را با پسوند اصلی خود ر‌ها ‌‌می‌کند در حالی که CTB-Locker پسوند‌‌ها را تغییر ‌‌می‌داد، که عموما به .ctbl یا .ctb2تغییر داده ‌‌می‌شد.

با وجود شباهت‌‌های آشکار بین Polyglot و CTB-Locker، آن‌ها هر کدام دو گونه مجزا و متفاوت از نرم‌افزار‌های مخرب هستند. آن‌ها تقریبا هیچ کدی را به اشتراک نمی‌گذارند. کارشناسان ما فکر ‌‌می‌کنند که با تقلید از CTB-Locker، سازندگان Polyglot راه جالب را انتخاب نکرده‌‌اند.
همانطور که ممکن است بدانید، هیچ راه شناخته شده‌ای برای رمزگشایی فایل‌‌های رمزنگاری شده توسط باج‌افزار CTB-Locker بدون پرداخت باج وجود نداشت. اما بازهم، در این بررسی هم Polyglot و CTB-Locker مثل هم نیستند. و خوشبختانه، سازندگان Polyglot دچار یک اشتباه بزرگ برای تولیدکننده کلید شدند و به همین خاطر محققان کسپرسکی توانستند یک راه چاره برای این مشکل ایجاد کنند. لابراتور کسپرسکی ابزاری رایگان که ‌‌می‌تواند تمام فایل‌‌های آسیب دیده را رمزگشایی کند، را منتشر ساخت.

برای رمزگشایی فایل‌‌های رمزنگاری شده توسط باج‌افزار Polyglot/MarsJoke، ابزاررایگان رمزگشای RannohDecryptor (ورژن ۱.۹.۳.۰ یا جدیدتر) آن را از اینجا دانلود و نصب کنید. این ابزار تمام فایل‌‌های شما را بازیابی ‌‌می‌کند.
حقیقتی که در مورد این نوع باج‌افزار گفته شد، نهایت شانس بود. سازندگان بدافزار‌ها به طور مداوم خود را آداپته ‌‌می‌کنند و خلقیات خود را بهبود ‌‌می‌دهند. به عنوان مثال، بعد از اینکه ما مشکل باج‌افزار CryptXXX را سه مرتبه حل کردیم، سازنده آن در نهایت الگوریتم رمزنگار آن را تغییر داد تا ابزار ما نتواند روی آن تاثیرگذار باشد. شاید سازندگان Polyglot هم در آینده همین کار را عملی کنند. شما نمی‌توانید از هر ابزار در دسترسی برای باج‌افزاری که با آن روبرو شده اید استفاده کنید. در واقع این ابزار‌ها اختصاصی هستند.

بهترین راه برای در امان ماندن از باج‌افزار‌ها، به دام‌‌انداختن آن‌ها قبل از اینکه سیستم شما را آلوده سازند، ‌‌می‌باشد و البته این کار با وجود آنتی‌ویروس‌‌های خوب و قوی امکان پذیر است. مثل Kaspersky Internet Security که دقیقا همین کار را انجام ‌‌می‌دهد.
راهی دیگر برای در امان ماندن که ما همیشه توصیه ‌‌می‌کنیم، بک‌آپ‌گیری، جلوگیری از باز کردن فایل‌‌های پیوست مشکوک و کلیک نکردن بر روی لینک‌‌های مشکوک است که در واقع راه‌حل‌‌های جلوگیری از آسیب محسوب ‌‌می‌شوند.

منبع: کسپرسکی‌آنلاین
کد مطلب: 45860
نام شما
آدرس ايميل شما

مهمترين اقدام برای پيشگیری از تکرار امثال کوروش کمپانی؟
اصلاح قوانين
برخورد قاطع
اصلاح گمرکات
آزاد کردن بازار
آگاه سازی مردم
هيچکدام