بسیج خانواده تروجان‌ها برای سرقت اطلاعات

/در , , , , /توسط
تروجان Android.Xiny این قابلیت را دارد که پروسه‌های در حال اجرای سیستم را مورد هدف قرار دهد و پلاگین‌های مخرب در جهت سرقت اطلاعات را دانلود و به درون برنامه‌ها تزریق کند.
 
بدافزار خانواده Android.Xiny یک تروجان جدید است که برای دانلود و حذف برنامه‌های مختلف روی گوشی موبایل قربانی طراحی شده است. این بدافزار برای سیستم عامل اندروید که محبوب‌ترین سیستم عامل موبایل در دنیا محسوب می‌شود توسعه داده شده است.
 
اولین بار تیم امنیتی Dr.Web این تروجان را مشاهده کرد. این تروجان از طریق برنامه‌هایی که از وب‌سایت‌های گوناگون قابل دانلود هستند انتقال می‌یابد. حتی جدیدا از طریق فروشگاه اصلی گوگل‌پلی نیز این تروجان به گوشی کاربران انتقال خواهد یافت. گزارش شده است که حدود ۶۰ برنامه از فروشگاه اصلی گوگل‌پلی آلوده به این تروجان هستند.
 
تروجان Android.Xiny این قابلیت را دارد که پروسه‌های در حال اجرای سیستم را مورد هدف قرار دهد و پلاگین‌های مخربی را دانلود و به درون برنامه‌ها تزریق کند و همان‌طور که مرکز ماهر نیز هشدار داده است، از این پلاگین‌ها برای سرقت اطلاعات کاربران استفاده می‌شود. نسخه جدید تروجان Android.Xiny اکنون می‌تواند یک دستگاه را برای افزایش امتیازات روت کند و حذف آن نیز توسط محققان امنیتی سخت‌تر شده است.
 
جدیدترین تروجان خانواده Android.Xiny که ارتقا یافته و توسط محققان امنیتی دکتروب (Dr.Web) روسیه شناسایی شده، Android.Xiny.۶۰ نام دارد. این تروجان روی دایرکتوری سیستم‌ها توسط دیگر برنامه‌های متعلق به خانواده Android.Xiny نصب می‌شود. ارتقاء اصلی این است که بدافزار دیگر قربانیان خود را برای دادن مجوز فریب نمی‌دهد و به جای آن دستگاه را روت کرده و امتیازاتی را که نیاز دارد را به دست می‌آورد.
 
متخصصان آنتی‌ویروس از مارس ۲۰۱۵ با تروجان مذکور آشنا شده‌اند. همان‌طور که دکتروب هم اعلام کرده بود، سازندگان ویروس به صورت فعال ویروس‌ها را بین وب‌سایت‌های معروف که نرم‌افزارها را برای دانلود می‌گذارند و حتی در فروشگاه‌های رسمی آنلاین اپلیکیشن مانند گوگل‌پلی توزیع می‌کنند.
 
تروجان Android.Xiny.۶۰ پس از نصب، چند ترکیب مخرب از منبع خود استخراج کرده، آن‌ها را در دایرکتوری‌های مربوطه سیستم کپی می‌کند و سپس کد مخرب قبل از اینکه به کارگزار دستور و کنترل خود متصل شود، منتظر چند فعالیت‌ همچون فعال‌سازی صفحه نمایش، اتصال شارژر و یا تغییر در اتصال به شبکه می‌ماند تا اتفاق بیفتد. وقتی این کار انجام شد، اطلاعات به سرقت‌رفته شامل آدرس MAC، نسخه سامانه عامل، مدل دستگاه تلفن همراه و زبان سامانه را بارگیری می‌کند.
 
زمانی که تروجان مذکور روی گوشی‌های هوشمند یا تبلت‌ها ذخیره شود، به دسترسی به روت دستگاه اقدام می‌کند و بنابراین می‌تواند به راحتی برنامه‌های نرم‌افزاری متعددی را نصب و دانلود کند. به علاوه این تروجان می‌تواند تبلیغات آزاردهنده‌ای را به نمایش بگذارد.
 
یکی از ویژگی‌های کلیدی این برنامه‌های مخرب نیز این است که مکانیزم خلاقی را به کار می‌گیرند که از آنها در برابر حذف شدن محافظت می‌کنند. این سازوکار روی این حقیقت که فایل‌های apk تروجان‌ها غیرقابل تغییر هستند، بنا نهاده شده است.
 
همچنین مجرمان سایبری، تروجان‌های Android.Xiny را تقویت می‌کنند و به آنها این توانایی را می‌دهند که خود را در نرم‌افزارهای سیستم تزریق کنند تا بتوانند پلاگین‌های مخرب متنوعی را راه‌اندازی کنند.

سرقت اطلاعات بانکی با “توردو”

/در , , , , /توسط
تروجان "توردو" که مختص سرقت اطلاعات بانکی است، بارگذاری برنامه‌ها از فروشگاه‌های غیرمعتبر امکان آلودگی و حمله ‌را فراهم می‌کند.
 
 در سیستم عامل اندروید دسترسی برنامه‌های عادی به منابع سیستمی محدود شده و برای دسترسی به این‌گونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش‌های خاصی امکان‌پذیر است، ولی در صورتی که برنامه‌ای قابلیت دسترسی به این سطح را پیدا کند، به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود.
 
همچنین به دلیل اینکه در سیستم عامل اندروید برنامه‌ها را می‌توان از منابع مختلفی بارگذاری کرد، امکان بارگذاری برنامه‌های آلوده‌ای که در فروشگاه‌های غیرمعتبر وجود دارند زیاد است. این نرم‌افزارها در نگاه اول نرم‌افزارهای سالمی هستند که پس از نصب سعی در به دست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.
 
با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) آزمایشگاه کسپراسکای (Kaspersky) در آغاز فوریه سال ۲۰۱۶، یک تروجان بانکداری روی سیستم‌های اندروید تحت عنوان "توردو" (tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می‌دانستند. به همین دلیل قابلیت‌های توردو بسیار بیشتر از سایر بدافزارهای بانکداری است و این موضوع می‌تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.
 
روش نفوذ توردو
 
آلودگی به "توردو" با نصب یک برنامه‌ی معروف اتفاق می‌افتد. در این مورد خاص منظور نسخه اصل برنامه‌ها نیست، بلکه کپی‌هایی که خارج از فروشگاه نرم‌افزار گوگل‌پلی برای دانلود وجود دارد مدنظر است. این فروشگاه‌ها اغلب مکانیزمی برای صحت اعتبار نرم‌افزارهای ثبت‌شده روی خود را ندارند.
 
نویسندگان بدافزار، نسخه‌های اصلی برنامه‌ها را دانلود و پیاده کرده، کد و فایل‌های جدیدشان را به آنها اضافه می‌کنند. سپس این فایل‌ها را مجددا کامپایل کرده و در فروشگاه‌های نرم‌افزاری غیرمعتبر منتشر می‌کنند. نتیجه برنامه‌ای است که بسیار به نسخه‌ی اصلی شبیه بوده و تمام کارهای نسخه‌ی اصلی را انجام می‌دهد و در عین حال کارایی مورد نظر حمله‌کننده را هم دارد.
 
پس از اجرای برنامه، کد اضافه‌شده به برنامه اصلی، فایل اضافه‌شده توسط مهاجم به منابع برنامه را رمزگشایی کرده و آن را اجرا می‌کند. فایل اجراشده با سرور حمله‌کننده تماس می‌گیرد و بخش اصلی توردو (که شامل لینک به فایل‌های بیشتر برای دانلود، یک اکسپلویت برای گرفتن سطح دسترسی root، نسخه‌های جدیدتر بدافزار و ... است) را دانلود می‌کند.
 
تعداد لینک‌ها با توجه به قصد مهاجم می‌تواند متفاوت باشد. همچنین هر فایل دانلود شده، می‌تواند مولفه جدیدی را از سرور دانلود، رمزگشایی و اجرا کند. در نتیجه دستگاه آلوده شامل چندین ماژول مخرب است که تعداد و کارایی آنها هم به قصد مالک "توردو" بستگی دارد. در هر صورت، مهاجم شانس این را دارد که از راه دور توسط فرستادن دستوراتی به دستگاه قربانی را کنترل کند. در نتیجه، مهاجمین سایبری کارایی‌های متفاوتی برای دزدیدن پول قربانیان توسط اجرای متدهایی که برای بدافزارهای بانکداری و باج‌افزارها قدیمی است، در اختیار دارند.
 
کارایی برنامه مخرب شامل فرستادن، دزدیدن و پاک‌کردن SMS ‌ها، ضبط و مسدود کردن تماس‌ها، چک‌ کردن میزان پول، دزدیدن مخاطب‌ها، تماس گرفتن، دانلود و اجرای فایل‌ها، نصب و پاک کردن برنامه‌ها، بلاک کردن دستگاه و نشان ‌دادن یک صفحه وب مشخص که روی سرور مخرب قرار دارد،   درست کردن و فرستادن لیستی از فایل‌ها که روی دستگاه موجود است، فرستادن و تغییر نام فایل‌ها و ریبوت کردن دستگاه می‌شود.
 
پیشنهاد تیم‌های امنیتی این است که کاربران برنامه‌ها را از منابع غیرمطمئن نصب نکنند و برای محافظت از دستگاه‌های اندرویدی از آنتی ویروس استفاده کنند. همچنین یکی از راه‌های جلوگیری از نصب نرم‌افزار از منابع غیرمطمئن، غیرفعال سازی قابلیت unknown sources در قسمت Security از Setting سیستم عامل است.

رهایی از باج‌افزارهای هرمی

/در , , , , /توسط
باج‌افزاری جدید، قربانیان را تشویق می‌کند به رایانه‌های دیگر حمله کنند. این نوع باج‌افزار که با استفاده از یک سیستم ابتکاری برای افزایش واگیر به بدافزارها کشف شده است، با ارائه پیشنهاد تخفیف، به صورت هرمی قربانیان را به مهاجم تبدیل می‌کند.
 
بدافزار «زمان پاپ کورن» (Popcorn Time) به کاربران پیشنهاد می‌دهد اگر دو نفر دیگر را متقاعد به نصب لینک بدافزار و پرداخت وجه کنند، به صورت رایگان، بدافزار آنها را حذف خواهد کرد.
 
به کاربرانی که به بدافزار پاپ کورن آلوده شده باشند، پیشنهاد می‌شود فایل های خود را با پرداخت پول نقد باز کنند. اما آنها نیز گزینه دومی نیز دارند که توسعه‌دهندگان از آن با عنوان راه کثیف یاد می کنند و آن، دادن لینک بدافزار به دیگران است. آن‌ها می‌گویند: اگر دو یا چند نفر این فایل را از طریق لینکی که می‌دهید نصب و پرداخت کنند، ما فایل‌هایتان را به صورت رایگان رمزگشایی می‌کنیم.
 
مانند بسیاری از باج افزارها، پاپ کورن، فایل های کلیدی بر روی هارد دیسک کاربران آلوده را رمزگذاری می کند و و وعده رمزگشایی را تنها به آن دسته از کاربران که باج پرداخت کنند و یا دیگران را آلوده کند می‌دهد. در حال حاضر، این نرم‌افزار در دست توسعه است، اما اگر به صورت کامل منتشر شود، روش توزیع نوآورانه‌اش می‌تواند آن را به سرعت به یکی از انواع گسترده این نوع بدافزار تبدیل کند.
 
مشاوره برای کسانی که به باج‌افزار آلوده شدند متفاوت است. اکثر سازمان‌های اجرای قانون مخالف پرداخت باج هستند و معتقدند موجب فعالیت‌های جنایی بیشتر می‌شود و در ضمن هیچ تضمینی وجود ندارد فایل‌ها با پرداخت باج آزاد شوند، زیرا برخی تلاش‌های بدافزاری فعالیتی مانند باج‌افزار دارد، اما به سادگی فایل‌ها را بی‌درنگ حذف می‌کند.
 
بسیاری از محققان امنیتی نیز توصیه‌ای مشابه این دارند، اما برخی نیز معتقدند قربانیان فردی نباید فایل‌های خود را به خاطر مبارزه با جرم‌های بیشتر به خطر بیندازند. برخی از باج‌افزارها نیز به لطف کدنویسانی که در رمزگذاری کردن هارد دیسک مرتکب اشتباه می‌شوند، کرک شده‌اند. پتیا (Petya) و تلکرپت (Telecrypt) دو ‌نوع بدافزاری هستند که مغلوب شده‌اند.

یک کارشناس امنیت اطلاعات: خبرپراکنی دروغین یک آنتی ویروس در ایران/باج افزاری که ۱۰۰ میلیون گرفت

/در , , , , , /توسط
یک کارشناس امنیت اطلاعات گفت: بیشتر اخبار حوره تهدیدات سایبری توسط واحد تبلیغاتی یک برند ضدبدافزار در کشور منتشر می شود که اشتباه است.
 
امیر صفری در کارگاهی با عنوان امنیت سایبری با بیان اینکه یکی از تهدیدات رایج و مهم سایبری باج افزارها هستند، اظهار کرد: بالغ بر 40 درصد این تهدیدات بعد از باج گیری حاضر به تسلیم کلید به قربانی نشده اند.
 
وی فروش ضد بدافزارهای جعلی و تقلبی را از دیگر تهدیدات موجود در بازار ایران دانست و ابراز کرد: این موضوع بسیار رایج شده و کاربران هم به اشتباه بر اثر تبلیغات گسترده یک برند اقدام به خرید ضدبدافزار جعلی کرده و سیستم شان را به خطر می اندازند.
 
این کارشناس امنیت اطلاعات افزود: جالب است بدانید برخی باج افزارها حتی تا صد میلیون تومان از قربانیان دریافت کرده اما کلید را تحویل نداده است; علی رغم اینکه آنتی ویروس های بسیاری در کشور فعال است.
 
او خاطر نشان کرد: کلیه پلت فرم ها از جمله ویندوز، اپل، بلک بری و... در معرض خطر هستند اما میزان آسیب زا بودن این پلت فرم ها متفاوت است. اینکه گفته شود لینوکس امن است اصلا اینگونه نیست بلکه هزینه تأمین امنیت و ایمن سازی آن از ویندوز هم بیشتر است.
 
وی درباره نحوه استفاده از آنتی ویروس ها گفت: همه ضدبدافزارها نیاز به بروزرسانی حداقل ماهی یکبار دارند لذا حتی الامکان باید از اطلاعات موجود روی سیستم همواره نسخه پشتیبان داشته باشیم تا در صورت بروز سانحه با مشکلی مواجه نشویم.
 
این کارشناس امنیت اطلاعات با بیان اینکه اغلب کاربران می دانند باید از آنتی ویروس استفاده کنند، اظهار کرد: معیارهای انتخاب آنتی ویروس خوب باید برند خوب، انتخاب مدل آنتی ویروس براساس نیاز، داشتن ویژگی های بیشتر و امنیتی تر، داشتن پسورد منیجر و سرویس پشتیبان گیری ابری باشد.
 
وی افزود: علاوه بر این آنتی ویروس های معتبر زمان آپدیت دوره ای و منظم دارند.
 
او درباره تست های مقایسه ای بین ضدبدافزارها گفت: تست های مقایسه ای قابل استناد و معیار مناسبی برای انتخاب نیستند. اغلب تست ها به شکل معیارهای سلیقه ای است و نمی شود به آنها استناد کرد.
 
صفری درباره بحث سانسور و دستکاری اخبار در حوزه آنتی ویروس ها گفت: ویروس فلیم را شرکت prevx کشف کرد اما کسپراسکی با ابزار رسانه ای به نام خود زد. ویروس مینی فلیم را هم ترند میکرو شناسایی کرد که باز هم کسپراسکی به نام خود مطرح کرد.
 
وی با انتقاد از اینکه خلأ کارشناسی در رسانه ها باعث شده تا اشتباها برندهایی به عنوان سبک ترین آنتی ویروس دنیا مطرح شود، گفت: وب روت سبکترین آنتی ویروس دنیا هست اما هیچ خبری در ارتباط با آن در رسانه ها نیست.
 
او افزود: بیشتر اخبار حوره تهدیدات سایبری توسط واحد تبلیغاتی یک برند ضدبدافزار در کشور منتشر می شود و متأسفانه رسانه ها هم به دلیل عدم آگاهی از این حوزه تخصصی و مهم، در مسیر تبلیغات کسپراسکی قرار می گیرند.
 
وی افزود: همین اتفاق در ارتباط با ویروس دوکو هم که توسط مکافی کشف شد افتاد و بازوی تبلیغاتی آن شرکت به نام خود زد.
 
صفری درباره چرایی انجام این تبلیغات کاذب عنوان کرد: پرهیز از رشد صحیح دانش کاربرها و همچنین آشنا شدن شرکت ها با برند این کارها صورت می گیرد. برخی برندهای ضدبدافزار موجود در بازار کشورمان اصلا فروش بین المللی ندارند و لذا حاضر هستند دست به هر کاری بزنند تا سهمی از بازار به دست آورند.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا: راه مقابله با جاسوسی از سیستم‌های اداری و سازمانی

/در , , , , /توسط
سرهنگ علی نیک‌نفس گفت: سیستم‌های اداری و خانگی به شدت در معرض تهدید بدافزارهای مخرب و جاسوسی هستند، این تهدیدات اغلب در پی بی‌دقتی در دانلود نرم‌افزار، فایل‌های فشرده و حتی عکس، فیلم و کلیپ از سایت‌های نامعتبر یا ایمیل‌های ناشناس رخ می‌دهد.
 
سرهنگ دوم علی نیک‌نفس در حاشیه بازدید از بیست و دومین نمایشگاه مطبوعات با بیان اینکه کاربران، صاحبان و مسئولان سیستم‌های رایانه‌ای و اطلاعاتی همواره باید از فعال بودن و بروزرسانی ابزارهای امنیتی همانند آنتی ویروس‌ها و دیواره آتش سیستم‌های تحت نظارت اطمینان یابند، اظهار کرد: همچنین بروزرسانی سیستم عامل، نرم‌افزارهای مهم نیز کمک بزرگی در پیشگیری از این گونه خطرات دارد. این موضوع بویژه برای سازمان‌ها، مراکز و پایگاه‌های تجمیع‌کننده اطلاعات حساس و مهم اهمیت بسزایی دارد.
 
وی به مدیران فنی ادارات پیشنهاد کرد: برای جلوگیری از ورود بدافزارهای مخرب و جاسوسی به سیستم های اداری یکی از راهکارهای محدودسازی دانلود کاربران است، این امر می‌تواند ورود بدافزارهای مخرب و جاسوسی را به سیستم‌های اداری محدودتر نماید.
 
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا گفت: محدودیت دسترسی به اینترنت بر روی سیستم‌های کاری، می‌تواند کاربران اداری که نیازی به اینترنت ندارند را در مقابل بخشی از حملات بدافزاری و جاسوسی ایمن کند.
 
سرهنگ نیک‌نفس با اشاره به حافظه‌های جانبی مورد استفاده کارکنان افزود: برخی از کارکنان اداری حافظه‌های جانبی مثل فلش مموری دارند که برای انتقال اطلاعات از آنها استفاده می‌کنند و این جابه‌جایی اطلاعات که بخشی از آن از طریق سیستم‌های اداری صورت می‌گیرد، می‌تواند با توجه به آلوده بودن فلش مموری، کل سیستم را آلوده کند، لذا توجیه نمودن و آموزش کارکنان می‌تواند کمک موثری در پیشگیری از اینگونه آلودگی‌ها به حساب آید.

راهی برای رمزگشایی برخی باج‌افزارها

/در , , , , /توسط
برای حذف باج‌افزار از رایانه، ابتدا باید نوع باج‌افزاری که رایانه را آلوده کرده است، شناسایی شود. برای این منظور می‌توان از خدماتی مانند شناسه باج‌افزار برای شناسایی آن استفاده کرد.
 
باج‌افزار یکی از بدافزارهایی است که می‌تواند رایانه‌ها را آلوده کند. این نوع بدافزار فایل‌های رایانه را رمزگذاری و قفل می‌کند و تنها راه دسترسی به آن‌ها پرداخت باج به هکر است. برای حذف باج‌افزار از رایانه، ابتدا باید نوع آن را شناسایی کرد و برای این کار می‌توان از ابزارهایی مانند شناسه باج‌افزار استفاده کرد. پس از شناسایی نوع باج‌افزار می‌توان آن‌ را با ابزارهایی مربوط به هر باج‌افزار از بین برد.
 
مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای (ماهر)، لیستی از ابزارهای رمزگشایی باج افزار برای ویندوز ۱۰ منتشر کرده است که به قربانی کمک می‌کند این مشکل را رفع کرده و با رمزگشایی باج‌افزارها، اطلاعات را بازیابی کند.
 
رمزگشای AutoLocky برای باج‌افزاری با همین نام به کار می‌رود. اگر رایانه‌ای آلوده به باج‌افزار شود، نام فایل‌های آن رایانه به Locky تغییر می‌یابد و رمزگذاری می‌شود. با استفاده از رمزگشای AutoLocky می‌توان به حذف این نرم‌افزار مخرب امیدوار بود. 
 
باج‌افزار Jigsaw در صورت عدم پرداخت باج به هکر تمام فایل‌ها را حذف خواهد کرد، اما با ابزاری مانند رمزگشای Jigsaw می‌توان این نرم‌افزار را به راحتی از رایانه حذف کرد.
 
رمزگشای باج‌افزار  Kaspersky توسط شرکت آنتی‌ویروس کسپرسکای منتشر شده و می‌تواند هر دو باج‌افزار Coin Vault و Bitcryptor را از رایانه حذف کند. کسپرسکای ابزارهای مختلف دیگری را نیز برای حذف باج‌افزارها منتشر کرده است که می‌توان آن‌ها را از وب‌سایت این شرکت دانلود کرد.
 
کسپرسکای رمزگشای Rannoh dectyptor را برای باج‌افزار CryptXXX منتشر کرده‌ است، بنابراین اگر رایانه‌ای‌ آلوده به این باج‌افزار باشد، باید از این رمزگشا استفاده کرد.
 
باج‌افزار خاصی می‌تواند به طور کامل مانع از دسترسی به رایانه شود. اما خوشبختانه ابزارهایی مانند Windows Unlocker کسپرسکای می‌توانند این مشکل را رفع کنند. برای حذف باج‌افزار با استفاده از این ابزار، تنها باید فایل "iso." را دانلود و از آن برای ساخت یک حافظه فلش قابل راه‌اندازی استفاده کرد. پس از آن باید رایانه‌ی خانگی را از این درایو راه‌اندازی و با توجه به دستورالعمل، عمل کرد.
 
رمزگشای Hitmanpro.Kickstart ابزار دیگری برای دستیابی به رایانه است، حتی اگر رایانه به طور کامل مسدود شده باشد. تنها لازم است این رمزگشا در درایو حافظه فلش قرار گیرد و رایانه راه‌اندازی شود. سپس برنامه به طور خودکار باج‌افزار را حذف خواهد کرد.
 
ابزار ضد باج‌افزاری trend micro می‌تواند برای دستیابی به رایانه و حذف باج‌افزار با راه‌اندازی از یک درایو حافظه فلش استفاده شود.
 
شرکت Cisco نیز ابزار رمزگشای خود را برای باج‌افزار منتشر کرده و این ابزار برای حذف Telsacrypt طراحی شده است. ابزار رمزگشای Telsacrypt به صورت یک ابزار خط فرمان منتشر می‌شود و به قربانی برای حذف این باج‌افزار از رایانه خانگی کمک می‌کند.
 
باج‌افزار خاصی به نام Operation Global III فایل‌ها را رمزگذاری کرده و پسوند آن‌ها را به ".exe"   تغییر می‌دهد. در صورت برخورد با چنین مشکلی، می‌توان از ابزار رمز گشای Operation Global III استفاده کرد.
 
گاهی اوقات باج‌افزاری رکورد Master boot را تغییر داده و مانع از راه‌اندازی windows یا  safe modeمی‌شود. یکی از باج‌افزارهایی که چنین کاری را انجام می‌دهد، باج‌افزار Petya است؛ اما می‌توان آن را به راحتی با استفاده از رمزگشای باج‌افزار Petya حذف کرد.
 
همچنین در صورت آلوده شدن رایانه خانگی به باج‌افزار UmberCrypt  و  HydraCryptباید آن را با استفاده از رمزگشاهای باج‌افزار UmberCrypt  و  HydraCryptحذف کرد.

یک بدافزار جاسوسی جدید کشف شد

/در , , , , /توسط
کارشناسان شرکت‌های امنیت سایبری کاسپرسکی و سیمانتک اعلام کردند که موفق به کشف یک بدافزار پیش‌رفته جاسوسی شده‌اند که با سرویس اطلاعاتی یک کشور در ارتباط است.
 
کارشناسان شرکت‌های امنیت سایبری کاسپرسکی و سیمانتک موفق به کشف بدافزار پیش‌رفته جاسوسی با نام Project Sauro Remsec Strider شده‌اند. به گفته مقامات شرکت سیمانتک این بدافزار برای نفوذ به ۳۶ رایانه در حداقل ۷ سازمان مختلف در سراسر جهان از سال ۲۰۱۱ میلادی به بعد طراحی شده است. تاکنون بدافزار پیشرفته جاسوسی از اشخاص مختلفی در روسیه، ایرلاین‌های چین، یک سازمان در سوئد و سفارت بلژیک جاسوسی کرده است.
 
همچنین شرکت «کاسپرسکی» اعلام کرد، در این فهرست می‌توان نام مراکز تحقیقات علمی، تاسیسات نظامی، شرکت‌های مخابرات و موسسات مالی را اضافه کرد.
 
این بدافزار پیشرفته به تازگی شناسایی شده است و حداقل از سال ۲۰۱۱ میلادی فعال بوده است. دلیل شناسایی دیر هنگام آن به نوع طراحی خاص بدافزار بر می‌گردد که از الگوهای امنیتی که معمولا کارشناسان برای جستجو بدافزار استفاده می‌کنند، بهره نبرده است. این بدافزار زمانی شناسایی شد که یک سازمان دولتی از شرکت «کاسپرسکی» درخواست کنترل یک فرآیند غیر معمول را در ترافیک شبکه خود داده بود.
 
این بدافزار پشرفته می‌تواند به تمام خطوط شبکه رخنه کند و رمزعبور، کلیدهای رمز، آدرس آی‌پی، فایل‌های پیکربندی و دیگر داده‌های رایانه‌ها را استخراج کند. سپس اطلاعات به دست آمده بر روی یک درایو یواس‌بی ذخیره می‌کند که ویندوز آنها را به عنوان وسیله تایید شده تشخیص می‌دهد.

تسخیر هزاران وب‌سایت وردپرس و جوملا

/در , , , /توسط
بنابر ادعای محققان شرکت Sucuri در دو ماه گذشته هزاران وب‌سایت مبتنی بر سیستم مدیریت محتوای وردپرس و جوملا تسخیر شده‌اند تا کاربران را به سمت باج‌افزار CryptXXX هدایت کنند.
 
در حالیکه گفته می‌شود این کمپین آلوده‌سازی از 20 خرداد آغاز شده، تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده باشند.
 
اما احتمالا آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنر SiteCheck  بوده که اطلاعاتی محدود در اختیار دارد.
 
مشخصه اصلی این حمله آن است که از دامنه‌های realstatistics[.]info و realstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه فرود (Landig Page) مربوط به کیت اکسپلویت Neutrino هدایت کند.
 
Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF  در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.
 
چند روز پیش محققان Forcepoint اعلام کردند که دامنه‌های ذکرشده به عنوان سیستم‌های هدایت ترافیک در حمله‌های توزیع Neutrino  و RIG استفاده شده‌اند.
 
محققان نهایتاً موفق به کشف رابطه دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آنها تنها کاربران معمولی را به صفحه فرود هدایت می‌کردند در حالیکه برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود.)
 
با این حال، محققان Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است.
 
Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی وردپرس و جوملا و همچنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند.
 
محققان این شرکت معتقدند که استفاده از CMS از رده خارج شده معمولاً نشان‌دهنده‌ آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.
 
با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX  می‌شود.
 
چند هفته پیش محققان SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرس بیت‌کوین دست یافته‌اند.
 
واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه ( Angler که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.
 
CryptXXX اکنون به مهمترین باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال شده در CryptXXX عبارت است از 1.تغییر متن درخواست باج و 2. استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor.

یک بدافزار جاسوسی جدید کشف شد

/در , , , /توسط
کارشناسان آی تی موفق به شناسایی بدافزار پیشرفته جاسوسی شدند.
دو شرکت پیشگام «کاسپرسکی» و «سیمانتک» در عرصه نرم افزار اعلام کردند که موفق به کشف بد افزار پیش رفته ای شده اند که با سرویس اطلاعاتی یک کشور در ارتباط است.
 
نام این بدافزار جاسوسی را Project Sauro Remsec Strider گذاشته اند. به گفته مقامات شرکت «سیمانتک» این بدافزار برای نفوذ به ۳۶ رایانه در حداقل ۷ سازمان مختلف در سراسر جهان از سال ۲۰۱۱ میلادی به بعد طراحی شده است.
 
تا کنون بدافزار پیشرفته جاسوسی از اشخاص مختلفی در روسیه، ایرلاین های چین، یک سازمان در سوئد و سفارت بلژیک جاسوسی کرده است.
 
همچنین شرکت «کاسپرسکی» اعلام کرد، در این فهرست می توان نام مراکز تحقیقات علمی، تاسیسات نظامی، شرکت های مخابرات و موسسات مالی را اضافه کرد.
 
این بدافزار پیشرفته به تازگی شناسایی شده است و حداقل از سال ۲۰۱۱ میلادی فعال بوده است. دلیل شناسایی دیر هنگام آن به نوع طراحی خاص بدافزار بر می گردد که از الگوهای امنیتی که معمولا کارشناسان برای جستجو بدافزار استفاده می کنند، بهره نبرده است.
 
این بدافزار زمانی شناسایی شد که یک سازمان دولتی از شرکت «کاسپرسکی» درخواست کنترل یک فرآیند غیر معمول را در ترافیک شبکه خود داده بود.
 
بدافزار پشرفته می تواند به تمام خطوط شبکه رخنه کند و رمزعبور، کلیدهای رمز، آدرس آی پی، فایل های پیکربندی و دیگر داده های رایانه ها را استخراج کند.
 
سپس اطلاعات بدست آمده بر روی یک «درایو یو اس بی» ذخیره می  کند که ویندوز آنها را به عنوان وسیله تایید شده تشخیص می دهد.

جدیدترین باج‌گیرهای سایبری را بشناسید/ کشف ۶ گونه جدید باج‌افزار

/در , , , /توسط
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای فهرست ۶ گونه جدید از بدافزارهای باج‌گیر را که طی یک ماه گذشته شناسایی شده اند اعلام کرد.
 
باج‌افزارها یا باج‌گیرهای سایبری، گونه‌ای از بدافزارها (نرم افزارهای مخرب) به شمار می‌آیند که قادرند به طرق مختلفی از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و تنها در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باج‌افزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه پیش می‌آید.
 
در گزارش ارائه‌شده مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر)، اطلاعاتی راجع به باج‌افزار جدیدی مانند Herbst، نسخه‌های جدید باج‌افزارهای Crysis، Nemucod و کشف ۷ گونه جدید از باج‌افزار Jigsaw و انتشار ابزار رمزگشایی برای باج‌افزارهای cripttt، TeslaCrypt و jigsaw که در یک ماه اخیر، کشف شده اند، منتشر شده است.
 
۱- باج‌افزار Herbst
پانزدهم خردادماه، شرکت Fortinet باج‌افزار جدیدی را با نام Herbst کشف کرد. این باج‌افزار آلمان را مورد هدف قرار داده است و فایل‌های قربانیان را با استفاده از AES رمزنگاری کرده است. فایل‌های رمزشده توسط این باج‌افزار دارای پسوند .herbst است. باج درخواستی توسط این باج‌افزار ۰.۱ بیت کوین (حدود ۵۰ دلار آمریکا) است.
 
۲- انتشار ابزار رمزگشایی باج‌افزار روسی .criptikod یا cripttt
شانزدهم خردادماه، فردی به نام مایکل گیلسپی خبر مربوط به کشف ابزار رمزگشایی برای باج‌افزار روسی.criptikod یا cripttt را در حساب توییتر خود اطلاع رسانی کرده است. این باج‌افزار به زبان روسی بوده و این کشور را مورد هدف قرار داده است.
 
۳- کشف نسخه‌های جدید باج‌افزار Jigsaw
در ۱۷ خردادماه گونه‌های جدیدی از باج‌افزار Jigsaw مشاهده شد که برای فایل‌های رمزشده خود پسوند .payms، .paymst، .pays، .paym، .paymrss، .payrms و .paymts قرار داده‌اند. مایکل گیلسپی فایل های این باج‌افزار را نیز برای رمزگشایی، به‌روزرسانی کرده است.
 
۴- کشف نسخه‌ جدید باج‌افزار Crysis
در همین حال در هفدهم خردادماه امسال، نسخه‌ جدیدی از باج‌افزار Crysis کشف شده که فایل‌ها را رمز کرده و به فایل‌های رمزشده پسوند [email protected] اضافه می‌کند. پس از آن باج‌افزار یادداشتی قرار می‌دهد که بر اساس آن قربانی باید برای دریافت دستورات مربوط به پرداخت باج، به آدرس [email protected] یا goldman۰@india.com ایمیل بزند.
 
یک روز پس از کشف این نسخه‌ جدید، در ۱۸ خردادماه، موسسه امنیتی ESET درباره رشد و گسترش گسترده‌ خانواده این باج‌افزار هشدار داد. چرا که به نظر می‌رسد پس از پایان یافتن پروژه باج‌افزار TeslaCrypt، تیم مهاجمین روی باج‌افزار Crysis تمرکز کرده است. بر اساس یافته‌های ESET، این باج‌افزار از طریق هرزنامه‌های حاوی فایل‌های مخرب و یا تروجان‌هایی که به نظر برنامه‌های مفیدی می‌آیند، منتشر می‌شود.
 
۵- کشف گونه‌ی جدید باج‌افزار Nemucod
در بیستم خردادماه گونه‌ جدیدی از باج‌افزار Nemucod کشف شده که قادر است PHP را دانلود کرده و با استفاده از آن فایل‌های قربانی را رمز کند و در پایان فایل‌های رمزشده پسوند .crypted قرار دهد.
 
۶- انتشار ابزار جامع رمزگشایی TeslaCrypt
پس از آن‌که پروژه مربوط به باج‌افزار TeslaCrypt متوقف و کلید رمزگشایی آن منتشر شد، قربانیان قادر بودند فایل‌های رمز شده توسط نسخه‌ ۳ و ۴ این باج‌افزار را رمزگشایی کنند. البته برای رمزگشایی فایل‌های رمزشده توسط نسخه‌های قدیمی‌تر این باج‌افزار نیز ابزارهای دیگری مانند TeslaDecoder وجود دارد.
 
حال تیم تحقیقاتی سیسکو ابزار جدیدی ارائه داده است که با استفاده از آن قربانیان می‌توانند فایل‌های رمزشده توسط هر یک از نسخ این باج‌افزار را رمزگشایی کنند. استفاده از این ابزار برای کسانی که نمی‌دانند توسط کدام نسخه از باج‌افزار TeslaCrypt آلوده شده‌اند، می‌تواند بسیار مفید باشد.
 
طی سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن‌ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از طرق مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سواستفاده کنند. برای جلوگیری از آلودگی توسط بدافزارها توصیه‌های متداولی ازجمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وب‌سایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه‌ نسخه‌ پشتیبان از اطلاعات و ذخیره‌ آن‌ها روی یک حافظه‌ خارجی، وجود دارد.
 
مرکز ماهر تاکید کرده است که این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند.