انتشار شده در تاریخ 1395/01/28 - 17:51

بی‌اثری باج افزار Jigsaw با ابزار رمزگشایی

به گزارش واحد امنیت سایبربان؛ بدتر از آن، راه‌اندازی مجدد رایانه به قول مهاجمان موجب پاک شدن هزار پرونده خواهد شد. علاوه بر آن‌یک تصویر شوم «عروسی بیلی» برگرفته از فیلم ترسناک اره به همراه یک پیام هشدار ترسناک نیز توسط این بدافزار فرستاده می‌شود.

یادداشت این باج افزار این‌گونه شروع می‌شود: «من می‌خواهم با تو بازی کنم. بگذار تا قوانین را تعیین کنم: همه پرونده‌های تو در حال پاک شدن هستند».

اما نمایش ترسناک Jigsaw به نظر می‌رسد که در این لحظه خاتمه یافته باشد.

محققان این بدافزار را تحلیل کرده‌اند. این افراد شامل محققانی از گروه MalwareHunterTeam و کارشناسان جرائم رایآن‌های به نام‌های مایکل گیلسپی و لاورنس آبرامز بودند که موفق شدند یک ابزار رمزگشایی کشف کنند که به قربانیان اجازه می‌داد تا پرونده‌های خود را به‌صورت رایگان دوباره بازیابی کنند.
این پژوهش‌گران دستورالعمل‌هایی را برای استفاده هرکسی که گرفتار باج افزار Jigsaw شده بود، در بلاگ امنیتی آبرامز BleepingComputer.com ارسال کردند که شامل ابزاری برای رمزگشایی پرونده‌ها نیز می‌شد.
بر اساس گفته‌های آبرامز، باج‌افزار Jigsaw از رمزگذاری AES استفاده می‌کند که از طول بلوک ۱۲۸ بیتی و طول‌های کلید ۱۲۸ و ۱۹۲ و ۲۵۶ بیتی پشتیبانی می‌کند.

آبرامز در مصاحبه‌ای گفته است: «مجرمانی که پشت این باج‌افزار هستند، به همان اندازه از بازی کردن با قربانیان خود لذت می‌برند که از گرفتن پول آن‌ها خوشحال می‌شوند»؛ اما او می‌گوید که مهاجمان بر سر قول خود می‌ایستند و اگر مردم پول را پرداخت نکنند، آن‌ها واقعاً پرونده‌ها را از بین می‌برند.

بر اساس گفته محققان، باج افزار Jigsaw به ۲۴۰ گونه پرونده‌ی مختلف و منحصربه‌فرد در سامانه‌های آلوده حمله می‌کند و اسنادی را که پسوندهای FUN یا BTC دارند را رمز می‌کند، هنگامی‌که رمزگذاری انجام شود، مجرمان شروع به شمارش معکوس ۶۰ دقیقه‌ای می‌کنند. اگر پرداخت در ظرف این مدت انجام نشود، Jigsaw یک پرونده را پاک می‌کند. در ساعت بعدی دو پرونده پاک می‌شود؛ و هر ساعتی که می‌گذرد تعداد پرونده‌های که پاک می‌شود به‌صورت تصاعدی افزایش می‌یابد.

و تنها به خاطر اینکه محققان راهی پیداکرده‌اند که با استفاده از آن بر نویسندگان این باج افزار پیشی بگیرند، به این معنا نیست که باج افزار Jigsaw نیش خود را ازدست‌داده‌ است. آبرامز می‌گوید: «قربانی متوسط Jigsaw نمی‌داند که از کجا باید بیت‌کوین تهیه کند. این روند دست‌وپا گیر است و می‌تواند چند روزبه طول بکشند تا راه آن را پیدا کند؛ و تا آن موقع ممکن است ده‌ها هزار پرونده‌ پاک‌شده باشند».

قربانیان Jigsaw می‌توانند برای جلوگیری از پاک شدن پرونده‌ها به Windows Task Manager مراجعه کرده و روال firefox.exe را به همراه روال‌های drpbx.exe ببندند.

به گفته این محققان، مشخص نیست که تاکنون چه میزان از سامانه‌ها به‌وسیله این باج افزار آلوده‌شده‌اند. به گفته آبرامز یک مشکل این است که برخی از مردم‌فریب می‌خورند تا باج‌افزار Jigsaw را از طریق یک پرونده‌ی نصب جعلی مرورگر فایرفاکس بارگیری کنند.

پیش‌دستی بر مجرمان باج‌افزار معمول نیست؛ اما در اوایل هفته محققان گفته‌اند که آن‌ها قادر بوده‌اند تا باج افزار Petya را بشکنند و یک ابزار رمزگشایی بنویسند که به قربانیان اجازه می‌دهد تا کلیدهایی ایجاد کرده و پرونده‌های خود را در ظرف ده ثانیه رمزگشایی کنند.

آبرامز می‌گوید: «باج افزارها به‌شدت فراگیر شده‌اند و به همین دلیل است که نویسندگان باج افزارها به‌سرعت کدهای برنامه‌های خود را می‌نویسند و این کار موجب می‌شود تا متخصصان امنیتی بتوانند آسان‌تر قفل آنان را بشکنند».
او اضافه می‌کند: «من تعجب نمی‌کنم اگر ما به‌زودی انواعی از باج افزارهای Petya و یا Jigsaw را ببینیم که موتور رمزگذاری خود را جایگزین کرده و تبدیل به چیزی شده باشند که به‌سختی قابل شکستن است».
آبرامز می‌گوید که منتظر دنباله‌های باج افزار Jigsaw باشید!