سوالات

خبرگذاري ما

پاسخ تمام سوالات شما توسط Jornt van der Wiel متخصص باج‌افزار و رمزگذاري

۲۰ بازديد
jornt عضو تيم تحقيقات جهاني و آناليز و متخصص باج‌افزار و رمزگزاري مي‌باشد. او در هلند زندگي مي‌كند و بيش از دو سال است كه براي لابراتوار كسپرسكي كار مي‌كند. ما به خوانندگان اين شانس را داديم تا هرگونه سوالي در مورد باج‌افزار‌ها و رمزگزاري دارند از Jornt بپرسند و پاسخ‌ها در اين مورد كاملا شگفت‌انگيز بود. حقيقتا سوالات زيادي در پست گذاشته شده وجود داشت، بنابراين ما آن‌ها را به دو دسته تقسيم كرديم. در اين پست Jornt به سوالات متعدد در مورد باج‌افزار پاسخ مي‌دهد و در پست بعدي وي در مورد رمزگزاري صحبت خواهد كرد.آيا شما فكر مي‌كنيد كه باج‌افزارها در آينده ما را نسبت به ديگر بدافزارها مثل ويروس‌هاي قديمي‌تر و تروجان‌ها بيشتر و بيشتر نگران خواهند كرد؟بله مطمئننا همينطور است. ما شاهد افزايش خانواده‌هاي جديد آن‌ها هستيم و تهديدات هرروزه در حال بزرگتر شدن هستند. دليل رشد باج‌افزارها بخاطر درآمدزايي آنها است. مجرمي كه افراد را آلوده مي‌كند، درخواست باج كرده و قرباني باج مي‌پردازد. در اين صورت است كه قرباني كليد را دريافت كرده و قادر به رمز گشايي فايل‌هايش مي‌شود. معمولا مجرمان با قربانيان توسط چت صحبت مي‌كنند و براي اين كار نيازي به‌هيچ‌گونه ارتباط اضافي و فعل و انفعالات ديگري نيست زيراكه كار آنها فقط درخواست باج است وبس! و افراد به طور واقعي در مقابل با‌ج‌افزار بانكي قرار مي‌گيرند. چگونه مي‌توانم از تاثيرات باج‌افزارها دوري كنم؟. هميشه آخرين آپديت نرم‌افزار خود را نصب كنيد.. هرگز بر روي لينك و فايل پيوست در ايميل‌هاي مشكوك كليك نكنيد.. پسوند فايل‌ها را در ويندوز فعال كنيد (به طوري كه شما به جاي ديدن فايلpdf.exe.invoice، pdf. را ببينيد.). يك راهكار امنيتي به روز كانفيگ شده با فناوري هوشمند داشته باشيد.. و براي زماني كه دچار مشكل مي‌شويد يك بك‌آپ داشته باشيد و آنها را به صورت آفلاين ذخيره داشته باشيد يا فايل‌هاي خود را در يك اپليكيشن ابري با نسخه نامحدود ذخيره كنيد. (بنابراين حتي اگر فايل‌هاي رمزگزاري شده شما در يك درايو ذخيره شده باشند، زماني كه شما آنها را در يك ابر ذخيره كنيد مي‌توانيد به راحتي آنها را بازيابي كنيد).به عنوان يك شخص، من بيشتر درگير باج‌افزار‌ها مي‌شوم يا شركت‌ها؟هدف باج‌افزارها تمامي افراد است. گاهي اوقات شركت خاصي را مورد حمله قرار مي‌دهند. اما اغلب، ما شاهد درگيري افراد با ايميل‌هاي اسپم‌شده هستيم. از سويي ديگر، شركت‌هاي بزرگ حاضر به پرداخت باج نمي‌شوند: آنها معمولا براي بك‌آپ‌هاي خود جايي را در نظر مي‌گيرند. احتمال پرداخت باج در شركت‌هاي كوچك بيشتر است زيراكه بازگرداني توسط بك‌آپ براي آنها هزينه بيشتري را نسبت به پرداخت باج به همراه خواهد داشت.چه زماني ممكن است فايل‌هايي كه رمزگزاري شده‌اند، رمزگشايي شوند؟در موارد زير چنين چيزي امكان‌پذير است:• سازندگان نرم‌افزارهاي مخرب گاهي اشتباه مرتكب مي‌شوند و قفل را مي‌شكنند. كه در دو مورد باج‌افزار Petya و CryptXXX شاهد رمزگشايي توسط سازندگان آن بوديم. متاسفانه نمي‌توانم به شما ليستي از اشتباهاتي كه سازندگان باج‌افزار به آن دچار شده‌اند را بدهم زيرا كه اين ليست به آن‌ها كمك مي‌كند تا دوباره درگير آن اشتباهت نشوند. اما به طور كلي، رمزگشايي فايل‌ها كار راحتي نيست. اگر تمايل داريد در مورد رمزگزاري فايل‌ها و اشتباهات افراد در اين موارد بيشتر بدانيد، من توصيه ميكنم چالش رمزگزاري Matasano را سرچ كنيد.• سازندگان نرم‌افزارهاي مخرب بعد از ابراز تاسف كليد يا كليد مستر را منتشر مي‌كنند. كليد باج‌افزار تسلا كريپيت نمونه‌اي است كه نظاره‌گر آن بوديم.• سازمان‌هاي اجراي قانون يك سرور را با كليدهايش به دست مي‌گيرند و آن‌ها را اشتراك‌گذاري مي‌كنند. سال گذشته، با استفاده از كليدهاي بازيابي توسط پليس هلند، ما يك ابزار رمزگشا براي قربانيان CoinVault ايجاد كرديم.گاهي اوقات پرداخت باج جواب مي‌دهد ، اما هيچ تضميني براي رمزگشايي فايل‌هاي شما هنگام پرداخت باج وجود ندارد. علاوه بر اين، اگر شما باج بپردازيد، از كسب و كار مجرمان سايبري حمايت كرده‌ايد. در نتيجه شما در برابر افزايش تعداد باج‌افزارها و تعداد قربانيان توسط باج‌افزارها مسئول خواهيد بود.براي دستورالعمل برخورد با CryptXXX، شما مي‌گوييد كه دركنار فايل‌هاي رمزگزاري شده، شما به فايل‌هاي رمزگزاري‌نشده هم نياز داريد. به چه نرم‌افزاري اشاره دارد؟ و اگر فايل‌هاي رمزگزاري نشده را داشته باشيم ديگر نيازي به ابزار شما نيست؟سوال بسيار خوبي است و ممنونم از مطرح كردن چنين سوالي! اين نشان مي‌دهد كه ما بايد در آينده واضح‌تر كار كنيم. اين باج‌افزار تمام فايل‌هاي شما را با همان كليد رمزگزاري مي‌كند. بنابراين اگر شما ۱۰۰۰ فايل رمزگزاري شده داشته باشيد و از بين تمام اين فايل‌ها تنها يك فايل اورجينال را در جايي ديگر ذخيره داشته باشيد و شما تنها يك فايل را به ابزار رمزگشاي ما بدهيد، ما مي‌توانيم با استفاده از كليد بازگشايي فايل‌ها را بازيابي كنيم و ۹۹۹ فايل ديگر شما رمزگشايي شود. با اين حال وجود فايل اصلي نياز است.بدافزاري كه فايل‌ها را رمزگزاري مي‌كند تنها نوع باج‌افزارها است؟خير، باج‌افزاري كه كامپيوتر را قفل مي‌كند نيز وجود دارد. با اين حال، راه دور زدن و يا حذف اين نوع آسان‌‌تر است. به همين دليل است كه روز به رو از محبوبيت آن كاسته مي‌‌شود. اگر شما به اين موضوع علاقمند هستيد و اطلاعات بيشتري در مورد آن مي‌خواهيد وبلاگ ما را دنبال كنيد.طبق چيزي كه در مطبوعات بين‌المللي ديده مي‌شود، پيدا كردن باج‌افزار‌ها كار بسيار دشواري است و مثل بازي موش و گربه مي‌ماند. شما براي آنها راهكار داريد و به مقابله با آنها مي‌پردازيد. اين حقيقت دارد؟ حقيقت اينگونه نيست. سيستم ما كه نظاره گر رفتار فرآيندهاي در حال اجرا است، مي‌تواند بسياري از حملات جديد باج‌افزارهاي مهاجم را هنگام مواجه شدن، شناسايي كند، حتي اگر آنها باج‌افزارهاي ناشناخته باشند. بله مواردي هم تا به حال وجود داشته است كه توسط سيستم نظاره گر ما شناسايي نشده اند.مجرمان تقضاي پرداخت در بيت‌كوين مي‌كنند، كه رديابي آن بسيار دشوار است، آيا ممكن است اين مجرمان را رديابي كرد و به آن‌ها رسيد؟حقيقتا رديابي يك معامله بيت‌كويني دشوار نيست. معاملات در Blockchain ثبت مي‌گردد. اين ماهيت بيت‌كوين است كه بتوانيد هرگونه معامله‌اي را رديابي كنيد. شما نميدانيد كه چه كسي در آن سوي معامله نشسته است. اما سازمان‌هاي اجراي قانون مي‌توانند رد حساب‌ها را بگيرند. هرچند كه آن ها هم نياز دارند كه بدانند كه پول متعلق به چه كسي بوده است.آميزنده بيت‌كوين به خنثي‌كننده اثر رديابي معروف است. فكر ميكنم كه اين آميزنده به عنوان ماشيني است كه شما را در بين بيت‌كوين‌هاي زيادي قرار مي‌دهد و اين بيت‌كوين‌ها چندين بار بين صاحبان ردوبدل مي‌شود و اين عملكرد باعث ميشود تا شناسايي آن سخت‌تر شود. و در آخر، ما متوجه نخواهيم شد كه كدام بيت‌كوين را بايد شناسايي كرد. و شما مي‌توانيد فقط حدس بزنيد، كه اين اتفاق زياد رخ مي‌دهد.تحقيقات گوناگوني بر روي اين موضوع صورت گرفته است، (شما مي‌توانيد تعداد زيادي از آن‌ها را در گوگل سرچ كنيد) و اين تحقيقات نشان مي‌دهد رديابي گاهي اوقات امكان‌پذير است. به طور مختصر، گاهي اوقات ممكن است تراكنش‌هاي يك كيف پول را رديابي كرد، اما اين به راحتي انجام نمي‌گيرد حتي زماني‌كه شما كيف پول را پيدا كنيد، بورس بيت‌كوين بايد از طريق قانون، اعتبار صاحب كيف پول را فاش كند.چند سال براي كشف و پيدا كردن سازندگان CoinVault زمان برد؟داستان CoinVault از زماني آغاز شد كه Bart از تيم آنتي ويروس پاندا در توئيتر خود اعلام كرد نمونه هاي اضافي از CoinVault را يافته است. من متوجه شدم كه دو عدد از اين نمونه‌ها CoinVault نيستند اما به طور واضحي به آن ربط داشتند. ما تصميم گرفتيم كه بلاگي در اين مورد بنويسيم و جدول زماني از تكامل CoinVault را تهيه كنيم. هنگامي كه ما ۹۰% از پست را كامل كرديم، براي (NHTCU) واحد ملي جرائم تكنولوژي اين آمار را ارسال كرديم.زماني كه اين مقاله به پايان رسيد، ما با توجه به بعضي راهنمايي‌ها به دو چيز مشكوك شديم. طبيعي است كه ما اين اطلاعات را با NHTCU در ميان گذاشتيم. بيشتر از يك ماه زمان براي كشف آن صرف شد هرچند البته تمام زمان ما صرف تحقيقات و بدست آوردن اطلاعات براي نوشتن وبلاگ و كار كردن روي CoinVault نشد. بعد از منتشر شدن پست وبلاگ، كه NHTCU بيشتر از ۶ ماه بر روي اين مورد تحقيق كرده بود، سرانجام به دستگيري مجرمان در ماه سپتامبر سال گذشته منجر شد. سوال بسيار خوبي است، اما پاسخش كمي سخت است. ما تنها قادر هستيم آنها را رديابي كنيم. به عنوان مثال، تمام معاملات بيت‌كوين به يك جيب (حساب) ختم مي‌شود يا زماني كه پليس يك سرور فرماندهي را تصاحب كند، تنها اطلاعات پرداخت بر روي آن ديده مي‌شود. اما اين راه يك ايده به شما مي‌دهد، اجازه دهيد بگوييم مجرمان توانسته اند ۲۵۰۰۰۰ كاربر را آلوده كنند (اين برآورد حاصل گفتگو با كمپاني‌هاي بزرگ مي‌باشد). فرض مي‌كنيم كه هركدام از آن ها حدود ۲۰۰$ براي رمزگشايي فايل‌هاي خورد پرداخت كرده باشند (متوسط پرداخت باج ۴۰۰$ است) . اگر تنها ۱% از قربانيان آلوده باج پرداخت كرده باشند، مبلغ پولي كه عايد مجرمان شده است حدود ۵۰۰۰۰۰$ است.آيا ممكن است يك كامپيوتر آلوده در يك شبكه محلي به گسترش باج‌افزار از طريق شبكه به ديگر كامپيوترهايي كه همان سيستم عامل را دارند را بپردازد؟ يك مدل از باج‌افزار مي‌تواند سيستم‌عامل‌هاي مختلف را تحت تاثير قرار دهد؟براي قسمت اول سوال بايد عرض كنم كه اگر باج‌افزار داراي قابليت گسترش(باج‌افزارهاي كِرمي)باشد، بله مي‌تواند در شبكه پخش شود. براي مثال، Zcryptor ، SamSam دو نمونه از خانواده باج‌افزارها هستند كه قابليت گسترش را دارند.پاسخ قسمت دوم سوال را اينگونه مطرح مي‌كنم: بله، يك مدل از باج‌افزارها ممكن است چندين سيستم عامل را آلوده سازد، البته اگر هدف آن وب سرور باشد. به عنوان مثال: باج‌افزار مي تواند سيستم مديريت محتواي يك سرور در حال اجرا را در PHP مورد هدف قرار دهد. پس باج‌افزار مي‌تواند ويندوز كامپيوتر را كه يك وب سرور با PHP نصب شده دارد را آلوده كند. و سپس مي تواند قسمت‌هاي ديگر سرچ اينترنت را به منظور آلوده سازي كامپيوتر، اسكن كند. كامپيوتر بعدي مي‌تواند سيستم عامل لينوكس داشته باشد اما با وب سرور PHP. اگر بخواهم به طور خلاصه مطرح كنم پاسخم بله است، باج‌افزار چند پلتفرمي هم وجود دارد.هفته آينده Jornt به سوالات شما در مورد رمزگزاري پاسخ خواهد داد. پس به گوش باشيد.منبع: كسپرسكي آنلاين