بدافزارها

باج افزار Defray
۹ آبان ۱۳۹۶

باج افزار Defray

نام‌های دیگر: Glushkov

این باج‌افزار از قربانی طلب ۵٫۰۰۰ دلار باج برای در اختیار قرار دادن کلید رمز گشایی می‌نماید. باج‌افزار هدفمند که بیمارستان‌ها، مراکز آموزشی و تولیدی را مورد هدف قرار می‌دهد.

باج افزار Defray بدافزاری هدفمند

باج افزارDefray بدافزاری که در سال ۲۰۱۷ با هدف قرار دادن مراکز بهداشتی-درمانی  و بیمارستان‌ها کار خود را آغاز کرده است. باج افزار Defray قربانیان خود را هدفمند انتخاب می‌نماید به همین دلیل تعداد بسیار کمتری قربانی نسبت به Petya و WannaCry داشته است. این امر موجب گشته در اخبار امنیتی هم کمتر مورد توجه قرار بگیرد. اما لازم است بدانید Defray باجی معادل ۵٫۰۰۰ دلار امریکا را طلب می‌نماید که در مقایسه با باج افزارهای دیگر مبلغ گزافی است. شاید انگیزه‌ی سازندگان باج افزار Defray هم از هدفمند انتخاب کردن قربانیان همین باشد. به طور مثال زمانی که یک بیمارستان آلوده می‌شود و داده‌های حساسش رمز می‌گردد ترجیح می‌دهد باج را پرداخت نماید تا اطلاعاتش را برای همیشه از دست بدهد. محققان معتقد هستند کم کم باج افزارها به سمت هدفمند شدن پیش می‌روند. از روش “spary and pray” و در واقع هدف قرار دادن تعداد بسیار زیادی قربانی فاصله گرفته و به سمتی می‌روند که قربانیان خود را هدفمند و مهندسی شده انتخاب نمایند. در نتیجه باج افزار Defray را می‌توان در این دسته از باج افزارها قرار داد.

روش‌های انتشار

در سال ۲۰۱۶، Trend Micro آماری را منتشر کرد که مطابق با آن ۷۹% راه ورودی باج افزارها در طول سال ۲۰۱۶، هرزنامه‌ها بوده است. این روند هنوز هم ادامه دارد و از روش‌های مهندسی اجتماعی برای طراحی هرزنامه‌هایی که کاربر را ترغیب به باز کردن فایل‌ها نماید به طور گسترده‌ای استفاده می‌شود. توسعه‌دهندگان باج افزار Defray هم از ارسال هرزنامه برای انتشارش استفاده کرده اند. هرزنامه‌ای که به ظاهر از طرف مدیر IT یک بیمارستان ارسال شده و حاوی گزارش وضعیت یک بیمار می‌باشد، از نمونه‌هایی بود که باج افزار Defray برای ورود به بیمارستان هدفش مورد استفاده قرار می‌دهد. در حملات مختلف هرزنامه‌هایی با طراحی‌ها و نام‌های متفاوتی ارسال شد اما فایل آلوده‌ی به کار گرفته شده در همه‌ی آن‌ها یکسان بود. فایل آلوده یک فایل word است که در آن یک OLE قرار دارد. زمانی که قربانی بر روی OLE کلیک می‌نماید فایلی با نام taskmgr.exe و یا explorer.exe اجرا شده و نصب می‌گردد. اما این فقط ظاهر قضیه است و در حقیقت قربانی باج افزار Defray را بر روی سیستمش نصب نموده است.

پیغام با‌ج‌خواهی Defray

بعد از آن باج افزار Defray یک فایل با فرمت txt. ساخته و در فایل‌های سیستم قربانی منتشر می‌نماید. از طریق این فایل به کاربر اعلام می‌نماید که آلوده به باج افزار Defray شده است. فایل HELP.txt را هم بر روی میزکار سیستم قربانی قرار می‌دهد که حاوی سه رایانامه برای مذاکره با توسعه دهندگان Defray می‌باشد. نکته‌ی جالب توجه در مورد باج افزار Defray وجود یک کانال مذاکره با نام BitMessage است. توسعه دهندگان این باج افزار،  BitMessageرا طراحی کرده‌اند تا علاوه بر رایانامه از طریق  این کانال هم بتوانند با قربانی در رابطه با مبلغ باج مذاکره نمایند. شاید علت این کار هم مبلغ گزافی است که طراحان Defray به عنوان باج در نظر گرفته‌اند. مبلغی معادل ۵۰۰۰ دلار امریکا که بایستی به صورت ارز دیجیتال پرداخت گردد.

رفتار باج افزار Defray

باج افزار Defray حاوی لیستی از پسوندهایی است که رمز خواهد نمود. این لیست در حقیقت حاوی hard code این پسوندها می‌باشد. بعد از آن که باج افزار Defray کار رمز نگاری فایل‌های قربانی را به اتمام رساند، شروع به خرابکاری‌های دیگری در سیستم قربانی می‌نماید. از جمله از کار انداختن startup recovery و پاک کردن کپی‌های volume shadow. همچنین در ویندوز ۷ تمامی برنامه‌های در حال اجرا را پویش کرده و یا متوقف می‌نماید.

راهکارها

  • یکی از راه‌های رایج انتشار باج افزارها از طریق هرزنامه می‌باشد. در این راستا آموزش کاربران، ضروری است.
  • ایجاد نسخه پشتیبان از اطلاعات به صورت منظم و مداوم.
  • نصب وصله‌های امنیتی به صورت بلادرنگ و بدون معطلی. بسیاری از این باج افزارها از نقاط آسیب‌پذیری کشف شده بهره می‌برند.
  • استفاده از ضد ویروس‌هایی مانند کسپرسکی و به روز نگه داشتن ضد ویروس نصب شده بر روی سیستم.

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران


تازه ترین ها