۱۰ تیر ۱۳۹۷

SynAck باج افزار خطرناکی که به سرعت در حال انتشار است!

این طور نیست که فقط نرم افزارها توسعه و پیشرفت کنند و قابلیت ها و امکاناتی را که ارائه می دهند، بهبود دهند. دسته ای دیگری نیز وجود دارند که مانندِ نرم افزارها همواره در حال توسعه هستند. بله، درست حدس زدید! بد افزارها. بدافزار ها نیز می توانند توسعه پیدا کنند. کسانی که این بدافزار ها را توسعه می دهد سعی دارند با افزودن توابع و تکنیک های جدید، توسط نرم افزار های ضدویروس شناسایی نشوند.

گاهی اوقات این توسعه نسبتاً سریع اتفاق می افتد. برای مثال، باج افزار SynAck که در ماه سپتامبر ۲۰۱۷ شناسایی شد در ابتدای راه چندان تهدید بزرگی محسوب نمی شد و هوشمندی خاصی نداشت. اما اخیراً با استفاده از فرآیند Doppelgänging توسعه پیدا کرده و به یک تهدید جدی و پیچیده تبدیل شده است که کار شناسایی آن را دشوار می کند.

 

حمله ی مبهم

 

سازندگان تروجان ها معمولاً از روش های مبهم سازی کد استفاده می کنند و خوانایی کد های بدافزار را کاهش می دهند تا ضدویروس ها نتوانند آن ها را شناسایی کنند. این فرآیند معمولاً با پکیج بندی های خاصی صورت میگیرد. با این حال به نظر می رسد ضد ویروس ها چنین پکیج بندی هایی را به راحتی باز می کنند و این فرآیند به تنهایی برای شناسایی نشدن توسط ضدویروس ها کافی نیست.

اما توسعه دهندگان باج افزار SynAck از راه حل دیگری استفاده می کنند که زحمت بیشتری هم برای خودشان و هم برای سازندگان ضدویروس ها دارد. آن ها قبل از این که کد کامپایل شود عملیات مبهم سازی کد را انجام می دهند و با این کار فرآیند شناسایی را بسیار پیچیده می کنند. متاسفانه این تنها تکنیکی نیست که سازندگان SynAck استفاده می کنند آن ها در کنار این کارها، فرآیند Doppelgänging را نیز به کار می گیرند و اولین باری است که یک باج افزار از این روش استفاده می کند.

فرآیند Doppelgänging اولین بار در کنفرانسBlack Hat 2017 توسط محققان امنیتی معرفی شد و پس از آن در بسیاری از بدافزار ها مورد استفاده قرار گرفت. این فرآیند مبتنی بر برخی از ویژگی های سیستم فایل NTFS و نوعی از بارکننده ویندوز است که در تمامی نسخه های ویندوز از جمله XP نیز وجود دارد. در این روش مهاجم کد خود را به عنوان یک فرآیند مجاز معرفی کرده و اجرا می کند. فرآیند اشاره شده بسیار پیچیده و طولانی است و توضیح آن در این مقاله نمی گنجد.

باج افزار SynAck دو ویژگی مهم دیگر نیز دارد؛ نخست اینکه بررسی می کند در پوشه درستی نصب شده است یا خیر. در صورتی که در پوشه درستی نصب نشده باشد، اجرا نمی شود. این کار به جهت جلوگیری از شناسایی توسط Sandbox های خودکار است. Sanbox ها برای کنترل دسترسی برنامه ها استفاده می شوند. مورد دوم این است که SynAck بررسی می کند که بر روی سیستم مورد نظر کیبورد Cyrillic نصب شده باشد. این کار را تنها برای اینکه بدافزار را برروی کشور و منطقه ای خاص اجرا کند، انجام می دهد.

 

پول، عامل جنایت باج افزارها

 

از دید کاربران SynAck مانند دیگر باج افزار ها است و تفاوتی با آن ها ندارد. شاید دلیل اصلی این ماجرا این باشد که این باج افزار مانند دیگر باج افزار ها پول درخواست می‌کند و از کاربر تقاضای پرداخت مبلغ شگفت آور ۳ هزار دلاری را دارد. SynAck قبل از رمزگذاری بر روی فایل های کاربر با از بین بردن برخی از فرآیند ها، اطمینان حاصل می کند که به فایل های مهم مدنظر خود، دسترسی دارد.

 

قربانی در صفحه ورود به سیستم فقط یک یادداشت را می‌بیند که در آن اطلاعات تماس ذکر شده است. SynAck از یک الگوریتم رمزنگاری قوی استفاده می کند و متاسفانه هیچ نقصی در آن یافت نشده است بنابراین هیچ راهی برای رمزگشایی فایل های رمز شده وجود ندارد. SynAck بیشتر از طریق پروتکل دسترسی از راه دور به دسکتاپ منتشر شده است و به نظر می رسد بیشتر هدف آن کاربران تجاری باشد. تعدادی از این حملات در کشور های آمریکا، کویت و ایران مشاهده شده است.

نسل بعدی باج افزار ها

حتی اگر با با باج افزار SynAck برخورد نکرده باشید، وجود چنین باج افزاری، گواهی بر این مسئله است که باج افزار ها هرروزه در حال پیشرفت و پیچیده شدن هستند و مقاومت در مقابل آنها سخت تر شده است.  به نظر می رسد ابزارهای رمزگشایی توان مقابله با این باج افزارها را ندارند و مهاجمان راه مقابله با این ابزارها وجلوگیری از رمزگشایی باج افزارها را فراگرفته اند. در واقع باج افزارها به یک معضل جهانی تبدیل شده اند و برای هر کاربر اینترنتی دانستن راه های مقابله با این تهدیدات ضروری است.در زیر به برخی از نکاتی که به شما کمک می‌کند تا از این باج افزارها در امان باشید و یا حداقل تأثیرات و پیامد های آنها را کمتر کند، اشاره می کنیم:

  • از اطلاعات خود به طور مرتب پشتیبان گیری کنید. و اطلاعات خود را بر روی رسانه های ذخیره سازی که به شبکه ی شما و یا اینترنت متصل نیستند، ذخیره کنید.
  • اگر از ابزارهای دسترسی از راه دور به دسکتاپ استفاده نمی کنید، آن را غیرفعال کنید.
  • همیشه از راه حل های امنیتی، فایروال ها و ابزارهای ضد باج افزار استفاده کنید.

 

مراجع

[۱] “SynAck ransomware: The doppelgängster,” https://www.kaspersky.com/blog/synack-ransomware-featured/22323/ , May 2018.
[۲] “ENSILO BLOCKS SYNACK RANSOMWARE,” https://blog.ensilo.com/synack-ransomware , May 2018.