۱۳۹۴/۳/۱۹ امنیت اطلاعات

وب‌سایت Bleeping Computer چندی پیش اعلام کرد که سیستم‌های کامپیوتری آلوده به باج‌افزار Locker به‌رایگان رمزگشایی شده‌اند. این درحالیست که خالق Locker کدهای رمزگشایی این بدافزار را منتشر و برای انتشار چنین ابزاری عذرخواهی کرد. البته به گفته Bleeping Computer، کد غیرفعال کردن این باج‌افزار تنها روی سیستم‌هایی جواب می دهد که هنوز آلوده هستند و کاربرانی که Locker را به هر نحوی از سیستم خود پاک کرده‌اند می‌توانند از ابزار جدید Bleeping Computer برای رمزگشایی استفاده کنند.

خالق Locker در پیامی خبر داد که پایگاه داده‌ای حاوی یک آدرس بیت‌کوین و کدهای عمومی و خصوصی را در قالب یک فایل CSV روی وب‌سایت mega.co.nz بارگذاری کرده و جزئیات مربوط به ساختار فایل‌های رمزنگاری شده را در این فایل آورده است.

خالق این باج‌افزار در پیام خود اعلام کرد که این فایل «مجموعه کاملی» از پایگاه داده کدهای مربوط به Locker است و از اکثر کدها استفاده نشده است. این بدافزارنویس همچنین وعده داد که تمام سیستم‌های آلوده به Locker به‌طور خودکار رمزگشایی خواهند شد.

اما استو سوورمن، مدیرعامل وب‌سایت امنیت نرم‌افزاری KnowBe4، براین باور است که در پس این حرکت خیرخواهانه چند دلیل عمده نهفته است: خالق Locker یا به اندازه کافی پول به جیب زده، یا کم مانده به دام بیفتد و یا از سوی خرابکاران رقیب تحت فشار قرار گرفته است. سوورمن باج‌افزار Locker را به ویروس نهفته‌ای تشبیه کرد که از نیمه شب روز 25 مه فعال شد و دسترسی کاربران به فایل‌های خود را مسدود کرد؛ باج‌افزاری مشابه با عملکرد CryptoLocker.

بدافزار Locker از طریق تغییر مسیر کاربران به سایت‌های آلوده و احتمالا استفاده از یک فایل دستکاری شده برای نصب بازی Minecraft گسترش پیدا کرد. سیستم‌های مبتنی بر ویندوز هدف اصلی این باج‌افزار بوده که دامنه وسیعی از فایل‌ها را هدف قرار می‌داده: .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf

به گفته KnowBe4، این بدافزار پسوند فایل‌های رمزگذاری شده را تغییر نمی‌دهد و در مقابل، کاربران هنگام تلاش برای باز کردن این فایل‌ها با پیغام خطا روبه‌رو می‌شوند.

برخلاف اغلب باج‌افزارها که حداقل 500 دلاری را برای رمزگشایی فایل‌ها از کاربران اخاذی می‌کنند، خالق Locker یک‌دهم بیت‌کوین، یا مبلغی معادل 30 دلار را از کاربران طلب می‌کرد. KnowBe4 اعلام کرد که خسارت هیچ کدام از قربانیان جبران نشده.

سوورمن در پیامی گفت: «اگر کد خرابکارانه‌ای مثل Locker بنویسید حتما به‌خوبی می‌دانید که دست به چه کاری زده‌اید. عملکرد Locker مثل یک ویروس خاموش و نهفته از برنامه‌ریزی چند ماهه دقیق و حساب‌شده ای برای انتشار این باج‌افزار حکایت دارد. نکته دیگر آنکه اگر خالق Locker واقعا از انتشار این بدافزار پشیمان می‌بود ضرر وارده به کاربران را جبران می‌کرد، اما تا به حال از این مساله خبری نیست. از این گذشته مشخص نیست کامپیوتر ویروس Locker در سیستم‌های آلوده کاملا غیرفعال شده یا خیر.»

سوورمن احتمال داد که Locker اولین تجربه خالق آن در دنیای بدافزارنویسی بوده است. «مغز متفکر Locker احتمالا فردی بااستعداد است اما شباهت چندانی به خرابکاران سایبری حرفه‌ای ندارد، چرا که در بین گروه‌های حرفه‌ای و سازمان‌یافته هک اروپای شرقی هرگز چنین ماجرایی (اظهار ندامت و انتشار کدهای رمزگشایی) پیش نمی‌آید. شاید او هم عضوی از یکی از همین دسته‌های هک سایبری بوده که تصمیم می‌گیرد مستقل کار کند، اما جواب عکس می‌گیرد.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.