IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

باج‌افزار AstraLocker 2.0 قرار نیست فایل‌های شما را به شما بازگرداند

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir astralocker 2 0 ransomware isnt going to give you your files back
به گزارش Reversing Labs، آخرین نسخه باج‌افزار AstraLocker عامل یک عملیات باج‌افزار موسوم به “smash and grab” است.

اساساً Smash and Grab به معنای حداکثر کردن سود در سریع‌ترین زمان است. این بر این فرض کار می‌کند که نویسندگان بدافزار مبنی بر اینکه نرم‌افزار‌های امنیتی یا قربانیان بدافزار را به سرعت پیدا می‌کنند، بنابراین بهتر است هر چه سریعتر به پایان بازی بروید. باندل‌های ابزار‌های تبلیغاتی مزاحم در اوایل دهه ۲۰۰۰ از این رویکرد و با درآمدی که برای ده‌ها تبلیغ در رایانه‌های رومیزی در کوتاه‌ترین زمان ممکن پرداخت می‌شد، استفاده کردند.

آن روحیه smash and grab هنوز زنده است.
در یک حمله باج‌افزاری، مجرمان معمولاً از طریق یک تروجان که قبلاً رایانه‌ای را آلوده کرده است، با سواستفاده از آسیب‌پذیری نرم‌افزاری روی سروری که در اینترنت قرار دارد، یا با اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) به سرقت رفته، وارد شبکه قربانی می‌شوند. سپس بی‌صدا به سمت دستگاه‌ها و سرور‌هایی ‌می‌روند که داده‌های مهم در آن‌ها ذخیره می‌شود. هر چیز با ارزشی، به سرقت رفته و به خارج از شبکه ارسال می‌شود. هنگامی که مهاجم آماده است، باج‌افزار مستقر می‌شود و فایل‌های روی ماشین‌ها را رمزگذاری می‌کند و آن‌ها را بلااستفاده می‌کند. از اینجا، اخاذی دو یا حتی سه‌گانه تهدید (باج‌گیری و تهدید نشت داده‌ها) به کار گرفته می‌شود. این رویکرد دقیق، که گاهی ممکن است هفته‌ها طول بکشد، به مهاجمان اجازه می‌دهد تا سازمان‌ها را در مسیر خود از بین ببرند و باج‌های چند میلیون دلاری را مطالبه کنند.

این نوع حمله آنقدر موفقیت‌آمیز است که تقریباً تمام خانواده‌های اصلی باج‌افزار از این روش استفاده می‌کنند.

اما AstraLocker یک خانواده اصلی باج‌افزار نیست و این کار را انجام نمی‌دهد. (این دو چیز ممکن است به هم مرتبط باشند.)

برای اجرا کلیک کنید
در حملات مشاهده شده توسط Reversing Labs، باج‌افزار AstraLocker فقط مستقر شده و رمزگذاری می‌کند.

حمله را به عنوان یک سند Word مخرب که به یک‌ایمیل پیوست شده آغاز می‌کند. Payloadی که در سند پنهان شده، یک آبجکت OLE تعبیه شده می‌باشد. برای فعال کردن باج‌افزار، قربانی باید روی آیکون داخل سند دوبار کلیک کند، که با یک هشدار امنیتی همراه است. همانطور که محققان خاطرنشان می‌کنند، این فرآیند به اندازه آسیب‌پذیری اخیر Follina (که نیازی به تعامل کاربر ندارد) یا حتی استفاده نادرست از ماکرو‌ها (که برخی از تعاملات کاربر) است، نیست.

در سرعت عمل خود برای رمزگذاری، AstraLocker هنوز هم عمل برخی از باج‌افزار‌های استاندارد را انجام می‌دهد: سعی می‌کند برنامه‌های امنیتی را غیرفعال کند. همچنین اجرای برنامه‌هایی را که ممکن است مانع از رمزگذاری شوند، متوقف می‌کند. و از ماشین‌های مجازی که ممکن است نشان دهد که توسط محققان در آزمایشگاه اداره می‌شود، اجتناب می‌کند،.

حس اینکه این یک کار عجولانه است به همین جا ختم نمی‌شود.

تأیید مجدد (و سپس شکستن) دایره اعتماد
وقتی رمزگشایی اتفاق نمی‌افتد، چه به دلیل یک رمزگشای با کیفیت پایین، یا به دلیل اینکه هیچ فرآیند رمزگشایی در واقع وجود ندارد، به اصطلاح دایره اعتماد نویسنده باج‌افزار شکسته می‌شود. تعداد زیاد خطا‌های رمزگشایی برای تجارت مضر است. به هر حال، اگر هیچ شانسی برای بازیابی فایل وجود نداشته باشد، چرا قربانیان باید هزینه را پرداخت کنند؟

پس جالب است که متن زیر در یادداشت باج AstraLocker 2.0 آمده است:

چه تضمینی؟
من برای شهرتم ارزش قائل هستم. اگر کار و تعهداتم را انجام ندهم، کسی به من پول نمی‌دهد. این به نفع من نیست. تمام نرم‌افزار رمزگشایی من کاملاً آزمایش شده است و داده‌های شما را رمزگشایی می‌کند.

تا اینجا، شما فکر می‌کنید که ظاهراً همه چیز خیلی خوب است. متأسفانه، نقشه‌ای پنهانی در درون آن وجود دارد.

هزینه نرم‌افزار رمزگشایی آن‌ها "حدود ۵۰ دلار آمریکا" است که از طریق Monero یا Bitcoin قابل پرداخت است. این سؤال وجود دارد که نویسنده این نسخه از AstraLocker کیست، زیرا آدرس‌های‌ایمیل مرتبط با کمپین اصلی جایگزین شده‌اند. متأسفانه اینجاست که دایره اعتماد از هم می‌پاشد.

مطمئناً می‌توانید باج را بدون هیچ مشکلی پرداخت کنید. در سمت مهاجمین، برای پول درآوردن، همه چیز کاملاً صحیح کار می‌کند. آیا واقعاً فایل‌های خود را پس می‌گیرید؟ نه چندان؛ آدرس‌ایمیل تماس جدید ذکر شده در بالا فقط تا حدی گنجانده شده است.

در حال حاضر هیچ راهی برای درخواست ابزار رمزگشایی از نویسنده باج‌افزار وجود ندارد. مگر اینکه نوعی بروزرسانی در راه باشد، این روش، سریع‌ترین راهی است که می‌توانید فایل‌ها و ۵۰ دلار خود را از دست بدهید.

این مسأله چه تصادفی باشد چه از پیش طراحی شده، دایره اعتماد در اینجا بیشتر یک منحنی نزولی است، تا یک دایره.

برچسب ها: Reversing Labs, smash and grab, AstraLocker, Remote Desktop Protocol, Follina, حملات باج‌افزاری, باج‌افزار, Word, باج, Ransom, Encryption, Monero, malware, ransomware , Cyber Security, حملات سایبری, رمزگذاری, بدافزار, امنیت سایبری, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل