مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ 1395/01/16 - 18:34

خلاقیت در باج‌افزار‌ها؛ باج‌افزار (Petya)

باج‌افزارها پیش‌ازاین اول میز کار یا دسک‌تاپ را قفل می‌کردند (کاربر امکان هیچ فعالیتی نداشت به‌جز این‌که پنجره‌ی نحوه‌ی پرداخت باج را مشاهده می‌کرد)، نسل بعدی پرونده‌ها را رمزگذاری می‌کردند و درنهایت شاهد نسخه‌ای از باج‌افزارها بودیم که پس از مدتی نسخه‌ای از پرونده‌های قربانی را در کارگزارهای وب به اشتراک می‌گذاشتند، یعنی کاربر را تهدید می‌کردند که تصاویر و پرونده‌های خصوصی وی را در صورت عدم پرداخت باج منتشر می‌کنند؛ اما نسخه‌های جدید‌تر چه‌کار می‌کنند؟

در اینجا باج‌افزاری به نام Petya را معرفی می‌کنیم که رکورد راه‌انداز اصلی (MBR) رایانه را هدف قرار می‌دهد.
این باج‌افزار رایانامه‌ای را به اداره‌‌ی منابع انسانی در شرکت‌های آلمانی ارسال کرده است و جدول پرونده اصلی کامپیوتر آلوده‌شده را رمزگذاری می‌کند (این جدول به نام Master File Table شناخته می‌شود که هدف آن مدیریت همه‌ی پرونده‌ها در دیسک‌های NTFS است) و به ازای برگرداندن پرونده‌ها ۹ بیت کوین، هر بیت‌کوین تقریباً معادل است با ۴۰۰ دلار را درخواست می‌کند.

محققان در Bleeping Computer در روز جمعه گفتند که این باج‌افزار از طریق منتشر می‌شود که حاوی پیوند درآپ‌باکس (Drop Box) می‌باشند، چراکه این پیوند به پرونده‌ای هدایت می‌شود که باج‌افزار را نصب می‌کند. باج‌افزار رکورد راه‌انداز اصلی (MBR) را با بارگذاری مخرب جایگزین می‌کند. بدافزار ویندوز را مجبور به راه اندازی مجدد و نمایش پیغام عملیات بررسی دیسک برای قربانی می‌کند، درحالی‌که بدافزار در حال اجراست و جدول پرونده اصلی را رمزگذاری می‌کند.

پژوهش‌گران Bleeping Computer در گزارش تحلیل این بدافزار نوشته‌اند: «طی مرحله‌ی CHKDSK جعلی، بدافزار Petya جدول پرونده اصلی یا MFT را قفل خواهد کرد. هنگامی‌که MFT قفل شود، آنگاه کامپیوتر نمی‌داند که پرونده‌ها کجا قرار دارند یا حتی نمی‌داند چنین پرونده‌هایی اصلاً وجود دارد یا خیر، پس پرونده‌ها غیرقابل‌دسترس می‌شوند.»

پیش از راه افتادن ویندوز پیامی نمایش داده می‌شود که می‌گوید دیسک سخت کاربر رمزگذاری شده است و قربانی را برای بارگیری Tor راهنمایی می‌کند تا بتواند به وب‌گاه پرداخت باج (متعلق به مجرمان سایبری) رفته و باج درخواستی را به‌صورت بیت کوین بپردازد.

ظاهراً Petya جدیدترین باج‌افزاری است که با عملکردی جدید اقدامات امنیتی پژوهش‌گران را خنثی می‌کند. برای مثال هفته پیش بدافزاری بانام PowerWare روی شبکه صنعت بهداشت پیدا شد. بدافزار PowerWare از طریق هرزنامه‌ها پخش می‌شود و با استفاده از مهندسی اجتماعی قربانی را وسوسه می‌کند که ماکروها را فعال کند تا بتواند یک پرونده‌ی پیوست شده به شکل Office Word را ببیند. ماکرو یک خط فرمان را باز می‌کند و PowerShell ویندوز را برای بارگیری کدی مخرب اجرا می‌کند. این بدافزار هیچ پرونده‌ای ندارد یعنی پرونده‌هایی دودویی بدافزار را روی دیسک بارگذاری نمی‌کند. با به‌کارگیری PowerShell بدافزار نه‌تنها پرونده‌های مخرب را روی دیسک سخت ذخیره نمی‌کند، بلکه فعالیت‌های منطقی را روی دستگاه شبیه‌سازی می‌کند تا شناسایی بدافزار سخت باشد.

بدافزار Locky که در حال حاضر شبکه بیمارستان کنتکاکی را آلوده کرده است نیز از PowerShell استفاده می‌کند. نسخه‌ی اولیه‌ی این بدافزار نیز همانند PoweWare به فعال شدن ماکروها توسط کاربر بستگی دارد تا بتواند بدافزار را بارگیری کرده و دیسک سخت را رمزگذاری کند. نسخه‌ی ثانویه‌ی این بدافزار از راه یک کد جاوا اسکریپت منتشرشده است.