بدافزار باجگیری وارد Tor می شود: جانشینی بالقوه برای Cryptolocker
کسپرسکی لب از فعالیت مجدد بدافزاری خبر داد که دادههای کاربران را رمزنگاری کرده و سپس برای رمزگشایی آن پول طلب میکند.
کسپرسکی این بدافزار باجگیر را "Onion" نام گذاری کرده است چرا که از شبکه ناشناس Tor (روتر Onion) استفاده میکند تا ماهیت مخرب خود را مخفی کرده و کنترل بر روی خود را دشوار سازد.
بهبودهای فنی اعمال شده بر روی این بدافزار سبب شده تا یک تهدید واقعا خطرناک به حساب آید و جانشینی برای رمزنگارهای Cryptolocker، CryptoDefence/CryptoWall، ACCDFISA و GpCode محسوب شود. Onion در حقیقت عضو جدیدی از خانواده رمزنگارهای باجگیری است که از مکانیزم شمارش معکوس برای ترساندن قربانی استفاده میکند و برای رمزگشایی بیتکوین (Bitcoin) مطالبه میکند. این مجرمان سایبری یک مهلت 72 ساعتی برای پرداخت بیتکوین به صاحب داده میدهند و او را تهدید میکنند که پس از اتمام مهلت تمام اطلاعات از بین خواهد رفت.
به منظور انتقال دادههای محرمانه و اطلاعات پرداخت، Onion با سرورهای command and control مستقر در یک شبکه ناشناس ارتباط برقرار میکند. پیشتر، محققان شرکت کسپرسکی معماری این نوع ارتباط را مشاهده کردهاند، اما فقط توسط چند خانواده محدود بدافزار بانکی مانند 64-bit ZeuS (متصل به Tor) استفاده میشد.
به گفته ی Fedor Sinitsyn، تحلیلگر ارشد بدافزار در کسپرسکی، "اکنون به نظر میرسد که Tor به ابزاری برای اینگونه ارتباطات تبدیل شده و توسط انواع بدافزارها مورد استفاده قرار میگیرد. ویژگیهای بدافزار Onion که پیشتر هم مشاهده شده بود و توسط Tor به کار گرفته میشد بهبودهایی فنی داشته است. پنهان کردن سرورهای command and control در شبکه ناشناس Tor کار جستجوی مجرمان سایبری را پیچیده میکند. همچنین استفاده از تکنیک رمزنگاری غیرمعمول رمزگشایی را حتی در صورتی که ترافیک داده بین تروجان و سرور دستکاری شود، ناممکن میسازد. با این اوصاف این بدافزار یک تهدید واقعا خطرناک و همچنین یکی از پیشرفتهترین رمزنگارهای موجود محسوب میشود."
رویکرد سه لایه آلودگی
برای این که بدافزار Onion به یک سیستم وارد شود، ابتدا از طریق باتنت Andromeda (Backdoor.Win32.Androm) مسیر خود را آغاز میکند. سپس بات نت فرمان دانلود و اجرای یک بدافزار خاص دیگر از خانواده Joleee را روی دستگاه آلوده دریافت میکند و سپس این بدافزار، Onion را در سیستم آلوده دریافت میکند. این تنها یکی از راههای ممکن است که تا این جا کسپرسکی آن را شناسایی و کرده است.
انتشار جغرافیایی
بیشترین آلودگیها در کشورهای مستقل مشترک المنافع (CIS) ثبت شده است، در حالی که مواردی نیز در آلمان، بلغارستان، امارات متحده عربی و لیبی نیز شناسایی شده است.
نمونههای اخیر این بدافزار از واسط زبان روسی پشتیبانی میکند. این واقعیت و متون داخل بدنه تروجان بیانگر این مطلب است که سازندگان این بدافزار به زبان روسی صحبت میکنند.
توصیههای امنیتی:
تهیه نسخه پشتیبان از فایلهای مهم
بهترین راه برای اطمینان از امنیت دادههای مهم، تهیه نسخه پپشتیبان به صورت مستمر و زمانبندی شده است که این کار میبایست به طور منظم انجام شود. همچنین دستگاهی که بر روی آن ذخیره سازی صورت میگیرد تنها باید بدین منظور مورد دسترسی واقع شود (مانند دستگاههای removable که پس از تهیه نسخه پشتیبان فورا از دسترس خارج میشوند). رعایت نکردن این توصیهها سبب میشود که فایلهای پشتیبان، مورد حمله واقع شده و توسط بدافزار باجگیری همانند فایلهای اولیه رمزنگاری شوند.
نصب آنتی ویروس
یک راهکار امنیتی میبایست همواره در سیستم برقرار بوده و تمام اجزای آن فعال باشد. همچنین دیتابیس آن نیز باید به روز باشد.
منبع:آتنا
کسپرسکی لب از فعالیت مجدد بدافزاری خبر داد که دادههای کاربران را رمزنگاری کرده و سپس برای رمزگشایی آن پول طلب میکند.
کسپرسکی این بدافزار باجگیر را "Onion" نام گذاری کرده است چرا که از شبکه ناشناس Tor (روتر Onion) استفاده میکند تا ماهیت مخرب خود را مخفی کرده و کنترل بر روی خود را دشوار سازد.
بهبودهای فنی اعمال شده بر روی این بدافزار سبب شده تا یک تهدید واقعا خطرناک به حساب آید و جانشینی برای رمزنگارهای Cryptolocker، CryptoDefence/CryptoWall، ACCDFISA و GpCode محسوب شود. Onion در حقیقت عضو جدیدی از خانواده رمزنگارهای باجگیری است که از مکانیزم شمارش معکوس برای ترساندن قربانی استفاده میکند و برای رمزگشایی بیتکوین (Bitcoin) مطالبه میکند. این مجرمان سایبری یک مهلت 72 ساعتی برای پرداخت بیتکوین به صاحب داده میدهند و او را تهدید میکنند که پس از اتمام مهلت تمام اطلاعات از بین خواهد رفت.
به منظور انتقال دادههای محرمانه و اطلاعات پرداخت، Onion با سرورهای command and control مستقر در یک شبکه ناشناس ارتباط برقرار میکند. پیشتر، محققان شرکت کسپرسکی معماری این نوع ارتباط را مشاهده کردهاند، اما فقط توسط چند خانواده محدود بدافزار بانکی مانند 64-bit ZeuS (متصل به Tor) استفاده میشد.
به گفته ی Fedor Sinitsyn، تحلیلگر ارشد بدافزار در کسپرسکی، "اکنون به نظر میرسد که Tor به ابزاری برای اینگونه ارتباطات تبدیل شده و توسط انواع بدافزارها مورد استفاده قرار میگیرد. ویژگیهای بدافزار Onion که پیشتر هم مشاهده شده بود و توسط Tor به کار گرفته میشد بهبودهایی فنی داشته است. پنهان کردن سرورهای command and control در شبکه ناشناس Tor کار جستجوی مجرمان سایبری را پیچیده میکند. همچنین استفاده از تکنیک رمزنگاری غیرمعمول رمزگشایی را حتی در صورتی که ترافیک داده بین تروجان و سرور دستکاری شود، ناممکن میسازد. با این اوصاف این بدافزار یک تهدید واقعا خطرناک و همچنین یکی از پیشرفتهترین رمزنگارهای موجود محسوب میشود."
رویکرد سه لایه آلودگی
برای این که بدافزار Onion به یک سیستم وارد شود، ابتدا از طریق باتنت Andromeda (Backdoor.Win32.Androm) مسیر خود را آغاز میکند. سپس بات نت فرمان دانلود و اجرای یک بدافزار خاص دیگر از خانواده Joleee را روی دستگاه آلوده دریافت میکند و سپس این بدافزار، Onion را در سیستم آلوده دریافت میکند. این تنها یکی از راههای ممکن است که تا این جا کسپرسکی آن را شناسایی و کرده است.
انتشار جغرافیایی
بیشترین آلودگیها در کشورهای مستقل مشترک المنافع (CIS) ثبت شده است، در حالی که مواردی نیز در آلمان، بلغارستان، امارات متحده عربی و لیبی نیز شناسایی شده است.
نمونههای اخیر این بدافزار از واسط زبان روسی پشتیبانی میکند. این واقعیت و متون داخل بدنه تروجان بیانگر این مطلب است که سازندگان این بدافزار به زبان روسی صحبت میکنند.
توصیههای امنیتی:
تهیه نسخه پشتیبان از فایلهای مهم
بهترین راه برای اطمینان از امنیت دادههای مهم، تهیه نسخه پپشتیبان به صورت مستمر و زمانبندی شده است که این کار میبایست به طور منظم انجام شود. همچنین دستگاهی که بر روی آن ذخیره سازی صورت میگیرد تنها باید بدین منظور مورد دسترسی واقع شود (مانند دستگاههای removable که پس از تهیه نسخه پشتیبان فورا از دسترس خارج میشوند). رعایت نکردن این توصیهها سبب میشود که فایلهای پشتیبان، مورد حمله واقع شده و توسط بدافزار باجگیری همانند فایلهای اولیه رمزنگاری شوند.
نصب آنتی ویروس
یک راهکار امنیتی میبایست همواره در سیستم برقرار بوده و تمام اجزای آن فعال باشد. همچنین دیتابیس آن نیز باید به روز باشد.
منبع:آتنا
! قبل از ارسال سوال ابتدا جستجو کنید، اگر تاپیک مرتبط وجود ندارد، در بخش مناسب یک تاپیک جدید ایجاد کنید !
* به سوالات عمومی در تلگرام یا پیام خصوصی پاسخی ارسال نخواهد شد! *