ded cryptor.jpg



اخیرا انگلیسی ها و روسی ها مورد حمله باج افزار جدیدی از نوع اسب تروا و به نام Ded Cryptor قرار گرفته اند. این باج افزار در خواست پرداخت دو بیت کوئین معادل 1300 دلار را از قربانیان میکند و متاسفانه هیچ راه حلی برای برداشتن این رمزنگاری و بازیابی فایلهای گروگان وجود ندارد.

زمانیکه کامپیوتری با باج افزار Ded Cryptor الوده میشود, این ملویر در ابتدا پس زمینه صفحه نمایش سیستم را تغییر داده و بجای ان تصویر پاپا نوئلی با نگاهی شیطانی مشاهده میشود. تصویر وحشتناکی همراه با یک درخواست باج که این اخری همانند همه باج فزارهای معمول است.

باج افزار Ded Cryptor داستانی برای خود دارد که داستان ادمهای خوب و بدجنس ها است که با یکدیگر مبارزه میکنند و دچار خطاهائی میشوند و نتایج این خطاها را میپردازند.

همه چیز از زمانی اغاز شد که Utku Sen, متخصص امنیت انفورماتیک ترک یک عنصر ملویر توسعه داده و کد انرا انلاین منتشر کرد. هر کسی میتوانست انرا از روی سایت GitHub که سایتی قابل دسترس و رایگان است و توسعه دهندگان برنامه ها از ان برای همکاری در پروژه های خود استفاده میکنند دانلود کند. البته این کد بعدا به دلایلی که بعدا توضیح داده خواهند شد از روی این سایت حذف شد.

در واقع ایده Utku Sen یک ایده انقلابی بود. او کد سورسی را به رایگان در اختیار مجرمین سایبری قرار میداد تا رمزنگاری مخصوص خود را بسازند. اما وی مطمئن بود که هر متخصص امنیت سایبری مایل است بداند که مجرمین چگونه واکنش نشان داده و چگونه از کد استفاده خواهند کرد. او گمان میکرد که این روش غیر معمول به متخصصین امنیتی برای مقابله موثرتر با مجرمین سایبری کمک خواهد کرد.

یک پروژه قبلی مربوط به باج افزار Hidden Tear نیز جزو این تجارب Utku Sen بود. از همان ابتدا وی باج افزاری از نوع جدید که میتوانست افلاین نیز کار کند توسعه داده بود. کمی بعد EDA2 که مدلی توانمندتر بود ظاهر گشت.

EDA2 از رمزنگاری نامتقارنی بهتر از Hidden Tear برخوردار بود و میتوانست با یک سرور فرمان و کنترل نیز ارتباط برقرار کرده و کلیدی را که انتقال میداد را رمزنگاری نموده و تصویری ترسناک نیز به قربانیان نمایش دهد.



eda2.jpg

سورس کد EDA2 نیز روی GitHub منتشر شده بود و همین باعث انتقادات منطقی بسیاری از Utku Sen شد. این کد سورس برایگان در دسترس بوده و مجرمین سایبری علاقه مندی که حتی کد نویسی را درست بلد نبودند میتوانستند از این باج افزار متن باز Utku Sen با هدف ربودن پول از کاربران استفاده کنند. ایا واقعا Utku Sen از واقعیت و عاقبت کاری که انجام میداد اگاه بود ؟

بله. وی در واقع بکدورهائی در باج افزار خود بکار برده بود که امکان به دست اوردن کلیدهای رمزنگاری را فراهم میساختند. این یعنی اگر وی صحبتی از اینکه باج افزارش برای اهدافی مخرب استفاده شده میشنید, میتوانست یو ار ال سرور فرمان و کنترل را برای استخراج کلیدها و دادن انها به قربانیان به دست ارد. اما یک مشکل وجود داشت. قربانیان برای برداشتن رمز فایلها باید با این هکر کلاه سفید تماس میگرفتند تا کلید را از وی دریافت کنند. اما اکثر قربانیان حتی نامی از Utku Sen نشنیده بودند.

مسلما زمان زیادی نپائید که رمزنگاریهای ثالث بر اساس سورس کد Hidden Tear و EDA2 ظهور کردند. Utku Sen کم و بیش به مورد اول خوب رسیدگی کرده بود و کلید را منتشر کرده بود تا قربانیان انرا بیابند اما در مورد دومی متاسفانه همه چیز انطور که انتظار داشت رخ نداد.

Magic نام باج افزاری بود که بر اساس EDA2 بوده و از هر نظر شبیه ان بود و هیچ چیز جالبی یا بخصوصی برای خود نداشت. Utku Sen وقتی متوجه ان شد تلاش کرد تا کلید رمزنگاری انرا طبق معمول توسط بکدورهایش به دست ارد اما موفق نشد. مجرمین سایبری ای که از Magic استفاده میکردن از یک میزبان رایگان برای سرور فرمان و کنترل نیز استفاده مینمودند. زمانیکه این میزبان شکایات مربوط به این فعالیت مخرب را دریافت کرد, حساب این مجرمین و تمامی فایلهای انان را حذف کرد و بدینگونه شانس به دست اوردن کلیدهای رمز همراه با داده ها منهدم گشتند.

اما داستان به همینجا خاتمه نمیابد. سازندگان Magic با Utku Sen تماس برقرار کرده و در مکالماتی که به بحثهائی عمومی و طولانی تبدیل گشتند, به وی پیشنهاد انتشار کلید رمز نگاری به شرطی که وی سورس کد EDA2 را از مالکیت عمومی خارج کرده و سه بیت کوئین میپرداخت را کردند. با گذشت زمان هر دو طرف به موافقت رسیده و پرداخت باج منحل شد.

با این مذاکرات, خوانندگان چیزهای جالبی در مورد انگیزه سیاسی این مخربین اموختند. انها حتی زمانیکه داستان مردی که تمام تصاویر نوزاد خود را با Magic از دست داده بود را شنیدند می خواستند این کلید رمز را منتشر کنند.

بالاخره Utku Sen سورس کد EDA2 و Hidden Tear را از روی GitHub حذف کرد. هر چند که این خیلی دیر انجام شد چون اشخاص بسیاری قبلا انرا دانلود کرده بودند. دوم فوریه 2016, Jornt van der Wiel, متخصص و کارشناس ملویر کسپرسکی در مقاله ای در SecureList قید کرده بود که 24 باج افزار بر اساس Hidden Tear و EDA2 وجود دارند. از ان زمان تا کنون تعداد انها همچنان افزایش میابد.

Ded Cryptor یکی از فرزندان EDA2 است که از سورس کد ان استفاده کرده اما سرور فرمان و کنترل ان در تور میباشد و در نتیجه از امنیت و ناشناسی بیشتری برخوردار است. این باج افزار با سرویس tor2webبا سرور خود مرتبط است که امکان استفاده برنامه ها از تور را بدون مرورگر تور فراهم میسازد.

Ded Cryptor به نوعی از چندین عنصر کد غمومی منتشر شده روی GitHub استفاده میکند و این هیولای فرانکشتاین را به خاطر میاورد. سازندگان ان از کد برای سرور پر*کسی که از یک توسعه دهنده دیگر روی GitHub گرفته شده و کد ارسال درخواست ها توسط توسعه دهنده ثالث دیگری است استفاده کرده اند. حالت غیر معمول این باج افزار این است که درخواستها را مستقیما به سرور ارسال نکرده و یک سرور پر*کسی که از ان روی دستگاه الوده استفاده میکند نصب مینماید.

تا جائیکه ما میدانیم, سازندگان Ded Cryptor روسی هستند. اول اینکه درخواست مبلغ باج فقط به زبان روسی و انگلیسی است. دوم اینکه Fedor Sinitsyn, کارشناس کسپرسکی کد انرا انالیز کرده و مسیر دسترسی به فایل ان که C:UserssergeyDesktop<b>доделать</b>eda2-mastereda2eda2inReleaseOutputTrojanSkan.pdb میباشد را یافته است. باید یاداور شد که Magic نیز توسط روسیها ساخته شده بود.

متاسفانه ما اطلاعات کمی در مورد چگونگی انتشار Ded Cryptor داریم. Kaspersky Security Network معتقد است که این باج افزار بر اساس EDA2 و بخصوص در روسیه و بعد چین و المان و ویتنام و هندوستان فعال است.



tear geagraphy.jpg

متاسفانه راهی نیز برای برداشتن رمز فایلهای الوده شده با Ded Cryptor وجود ندارد و فقط شاید بتوان تلاش کرد تا بلکه با بازیابی داده ها انها را قبل از الودگی به دست اورد. تنها راه محافظت پیشگیری قبل از الودگی و نتایج ان است.

این مقاله کسپرسکی لب دیلی انحصارا برای ترفندستان ترجمه شده و کلیه حقوق مادی و معنوی ان مربوط و متعلق به وب سایت ترفندستان است. کپی این مقاله فقط با قید نام ترفندستان مجاز است.










تصاوير پيوست شده



ded cryptor.jpg
(123.9 کیلو بایت)


tear geagraphy.jpg
(40.9 کیلو بایت)


eda2.jpg
(32.0 کیلو بایت)

تاریخچه باج افزار Ded Cryptor