نحوه عملکرد GoldenEye 

از ابتدای مارچ ۲۰۱۶ جهان با گونه ای جدید از باج افزار آشنا شد که به جای رمز نگاری فایل ها، کاربر را از دسترسی به کل سیستم باز می دارد که این حمله را از طریق تغییر در ساختار low-level کامپیوتر انجام می دهد. پیاده ساز این باج افزار نه تنها یک boot loader ایجاد نموده است بلکه یک tiny kernel نیز ساخته که طول آن ۳۲ سکتور می باشد.

MBR و یا master boot record سیستم های قربانی با یک boot loader سفارشی  رونویسی می شود که موجب اجرای یک kernel کوچک و مخرب می گردد و عملیات رمز نگاری از طریق این کرنل هدایت می شود و تمامی master file table کامپیوتر را رمز نگاری نموده که در نتیجه آن امکان خواندن فایل های سیستم وجود ندارد.

باج‌افزارها به تهدید جدیدی برای افراد و سازمان‌ها تبدیل شده‌اند. در پویش‌های اخیر باج‌افزارها، مشاهده شده حملات علیه بخش‌های نیروی انسانی سازمان‌ها انجام می‌شود و این نشان می‌دهد تهدیدات در تجارت‌ها و سازمان‌ها رو به افزایش است.

این پویش‌ها با یک رایانامه‌ی جعلی با محتوای برنامه‌های شغلی آغاز می‌شود. در این رایانامه‌های جعلی علاوه بر محتوای کوتاه، پرونده‌ی مخرب نیز ذخیره شده که در نهایت منجر به آلودگی به باج‌افزار می‌شود. به گزارش محققان امنیتی چک‌پوینت، مهاجمان بخش‌های نیروی انسانی را در سازمان‌ها هدف قرار می‌دهند چرا که کارکنان این بخش‌ها نمی‌توانند رایانامه‌ها و ضمیمه‌های ارسالی از افراد غریبه را باز نکنند.

مدت طولانی است که هرزنامه‌ها به‌عنوان بردار حمله برای توزیع انواع مختلفی از بدافزارها مورد استفاده قرار می‌گیرند و جای تعجب نیست که مهاجمان سایبری در حملات خود نیز از روش‌های هرزنامه‌ای استفاده کنند. در پویشی که اخیراً مشاهده شده در هرزنامه‌ها باج‌افزار GoldenEye توزیع می‌شود که به نوعی فرزند باج‌افزارهای Petya و Mischa است. این باج‌افزار برای اولین بار در بهار سال ۲۰۱۶ مشاهده شد.

به گزارش محققان امنیتی چک‌پوینت این پویش کاربران آلمانی زبان را هدف قرار داده و یک نامه‌ی PDF سالم نیز در آن وجود دارد. دلیل وجود این نامه‌ی غیرمخرب در ضمیمه‌ها تحریک کاربر به باز کردن سایر ضمیمه‌ها و قانونی جلوه دادن هرزنامه است. با این حال ضمیمه‌ی مخرب دیگری در قالب یک پرونده‌ی اکسل با ماکروهای فعال‌شونده نیز وجود دارد.
کاربر فریب می‌خورد تا ماکروها را در این پرونده‌ی اکسل فعال کند و زمانی‌که این اتفاق افتاد، کد موجود در داخل ماکرو، فرآیند رمزنگاری‌ پرونده‌ها را شروع کرده و کاربر نمی‌تواند به پرونده‌های خود دسترسی داشته باشد. در ادامه باج‌افزار پسوندی ۸ نویسه‌ای به شکل تصادفی به انتهای پرونده‌های رمزنگاری‌شده اضافه کرده و پیغام باج‌خواهی را نمایش می‌دهد. همچنین از قربانی خواسته می‌شود برای رمزنگاری دیسک، رایانه را مجدداً راه‌اندازی کند.

محققان امنیتی چک‌پوینت توضیح دادند: «این عملیات باعث می‌شود کاربر نتواند به پرونده‌های موجود بر روی دیسک دسترسی داشته باشد. زمانی‌که دیسک سخت در حال رمز شدن است، کاربر یک صفحه‌ی جعلی chkdsk را مشاهده می‌کند و این مشابه اتفاقی است که در باج‌افزار Petya نیز وجود داشت. پس از رمزنگاری دیسک سخت نیز یک پیغام باج‌خواهی در سطح بوت نمایش داده می‌شود.»
باج‌افزار Petya برای رمزنگاری رکورد بوت اصلی۱ (MBR) دیسک، قربانی را مجبور می‌کرد تا رایانه را مجدداً راه‌اندازی کند و در ادامه پیغام باج‌خواهی در سطح بوت را به نمایش می‌گذاشت. تفاوت اصلی بین Petya و GoldenEye این است که Petya پرونده‌های کاربر را رمزنگاری نمی‌کند. همچنین در پیام باج‌خواهی GoldenEye بجای استفاده از رنگ سبز یا قرمز از رنگ زرد استفاده شده است.

قربانیان به سمت یک پورتال در وب تاریک هدایت می‌شوند و پس از وارد کردن «کد رمزگشایی شخصی» می‌توانند باج را پرداخت کنند. پس از پرداخت باج برای دریافت کلید رمزگشایی، قربانیان می‌توانند از طریق یک صفحه‌ی پشتیبانی که بر روی وب‌گاه اصلی وجود دارد، با نویسندگان این باج‌افزار ارتباط برقرار کنند.
باج‌افزار GoldenEye معمولاً ۱.۳ بیت‌کوین از کاربر باج درخواست می‌کند. محققان امنیتی می‌گویند: «ما فرض می‌کنیم که نویسندگان باج‌افزار می‌خواهند برای هر آلودگی ۱۰۰۰ دلار باج دریافت کنند و این مقدار درخواستی باتوجه به نوسانات قیمت بیت‌کوین متفاوت است.»

بسته حمایتی باج افزار شرکت نماد امن شامل بهترین راه حل ها و ابزار ها به منظور ایمن سازی شبکه شما می باشد. از اواسط سال ۱۳۹۵ ما این بسته حمایتی را به منظور مبارزه با قفل های رمز نگاری شده یا Cryptolocker ساختیم و از آن موقع تا به حال سعی در بهبود این بسته حمایتی با گسترش انتشار بدافزار ها و باج افزار ها کرده ایم. اطلاعات بیشتر …

بسته حمایتی باج افزار
سالیانه / نصب مجدد تنها ۳۰ هزار تومان
۱ کامپیوتر ۳۹۰.۰۰۰ تومان
۲ کامپیوتر ۴۹۰.۰۰۰ تومان
۳ کامپیوتر ۵۹۰.۰۰۰ تومان
۴ کامپیوتر ۶۹۰.۰۰۰ تومان
۵ کامپیوتر ۷۹۰.۰۰۰ تومان
۶ کامپیوتر ۸۹۰.۰۰۰ تومان
۷ کامپیوتر ۹۹۰.۰۰۰ تومان
۸ کامپیوتر ۱.۰۹۰.۰۰۰ تومان
۹ کامپیوتر ۱.۱۹۰.۰۰۰ تومان
۱۰ کامپیوتر ۱.۲۹۰.۰۰۰ تومان

باج‌افزار GoldenEye

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *