۶ شهریور ۱۳۹۷

باج‌افزار KeyPass و تنها راه مقابله با آن

براساس مشاهدات و مطالعات انجام شده توسط محققان، اخیرا یک باج‌افزار جدید با نام KeyPass در حال انتشار و فراگیر شدن است. نحوه انتشار این باج‌افزار به این صورت است که شما یک فایل نصبی به ظاهر سالم و بدون خطر را دانلود می‌کنید و اما این فایل، نرم افزار‌های مخرب را بر روی سیستم شما نصب می‌کند.

باج‌افزار KeyPass یک باج‌افزار بی‌رحم و بی‌طرف است. این باج‌افزار هیچ تفاوتی بین کشور‌­ها، نژاد‌‌ها و گروه‌های سیاسی قائل نیست و در حال آلوده ساختن تمامی سیستم‌ها و رایانه‌ها در سرتاسر جهان است. متاسفانه از تاریخ ۸ الی ۱۰ آگوست و تنها در ۳۶ ساعت رد‌پایی از این باج‌افزار در بیش از ۲۰ کشور جهان مشاهده شد. تا به امروز برزیل و ویتنام بیشترین سهم از آلوده شدن به این باج‌افزار را داشته اند و اما این در حالی است که باج‌افزار در حال فراگیر شدن و تسخیر جهان است.

نحوه رمزگذاری و انتشار باج افزار چگونه است؟

معمولا باج‌افزار‌ها فایل‌ها و اسناد با فرمت خاصی را هدف قرار می‌دهند اما KeyPass حتی در این مورد نیز متفاوت عمل می‌کند و در انتخاب فایل برای باج‌گیری از آن‌ها ناشناخته عمل می‌کند. وقتی که سیستم به این باج‌افزار آلوده شود تمامی فایل‌ها رمزگذاری شده و به فایل با پسوند .keypass تبدیل می‌شوند. البته لازم به ذکر است فایل‌ها به صورت کامل رمز‌گذاری نمی‌شوند و تنها ۵ مگابایت اول از هر فایل رمز می‌شود.

پس از آلوده شدن سیستم، باج‌افزار یک یادداشت به فرمت متنی را از خود برجای می‌گذارد. در این یادداشت در واقع درخواست سازندگان قرار گرفته است و از قربانیان خرید یک برنامه و کلید شخصی را در ازای بازگردانی فایل‌ها طلب می‌کند. سازندگان باج‌افزار می‌خواهند قربانیان را متقاعد کنند که پول خود را دور نمی‌ریزند و پس از قبول درخواستشان به طور قطعی فایل‌ها بازخواهد گشت. به همین دلیل از قربانیان می‌خواهند که ۱ تا حداکثر ۳ فایل رمزشده را برایشان ارسال کنند و فایل های ارسالی را به صورت رمزگشایی شده و رایگان دریافت کنند.

مهاجمان در پیامی که از خود بر جای گذاشته اند، ۳۰۰ دلار در ازای بازگرداندن فایل ها درخواست می‌کنند. البته لازم به ذکر است که این قیمت تنها برای ۷۲ ساعت اول پس از آلودگی سیستم معتبر است. برای دستورعمل‌های بعدی و دقیق‌تر در مورد نحوه بازیابی فایل‌ها، از شما خواسته می‌شود تا شناسه ذکر شده در یادداشت را به یکی از دو آدرس ایمیل گفته شده ارسال کنید. با این حال شدیدا توصیه می‌شود که این کار را انجام ندهید.

یک ویژگی بسیار عجیب KeyPass این است که اگر به دلایلی سیستم قربانی به اینترنت متصل نباشد، بد‌افزار نمی‌تواند کلید رمزگذاری شخصی را از سرور C&C بازیابی کند. به همین دلیل در این مورد خاص از یک کلید سخت‌افزاری استفاده می‌شود و فایل‌ها به راحتی می‌توانند رمزگشایی شوند. اما در باقی موارد، شما نمی‌توانید به راحتی از شر رمزگذاری‌ها خلاص شوید. علیرغم اینکه سیستم رمزگذاری بسیار ساده پیاده‌سازی شده است اما مجرمان در پیاده سازی آن هیچ خطا و اشتباهی را انجام نداده اند.

راهکار مقابله با این باج افزار چیست؟

متاسفانه تاکنون ابزاری توسعه نیافته است که بتواند فایل‌های رمزگذاری شده توسط باج‌افزار KeyPass را رمزگشایی کند. به همین دلیل بهترین راه حفظ و نگهداری داده‌هایتان جلوگیری از آلوده شدن به این باج‌افزار است. همیشه به یاد داشته باشید که پیشگیری بهتر از درمان است. با این وجود، در ادامه چند اقدام ساده را توصیه می‌کنیم که رعایت آن‌ها نه تنها برای KeyPass بلکه برای تمام باج‌افزار ها می‌تواند راهگشا باشد:

  • هرگز برنامه‌های ناشناخته را از سایت‌های مشکوک دانلود نکنید و همچنین هیچ‌گاه روی پیوند‌ها در صورتی که کوچکترین سوظنی دارید کلیک نکنید. این مورد به شما کمک می‌کند تا از بسیاری از بد‌افزار‌ها در امان باشید.
  • همواره از فایل های مهم و حیاتی خود پشتیبان بگیرید.
  • همیشه از یک راهکار امنیتی قابل اعتماد استفاده کنید که برنامه‌های مشکوک را پیش از آن که بتوانند به سیستم شما آسیب برسانند، شناسایی و مسدود کند.

 

منابع

[۱] “KeyPass: Ravenous ransomware,” https://www.kaspersky.com/blog/keypass-ransomware/23447/ , August 2018.

[۲] “New Variant of KeyPass Ransomware Discovered,” https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/ , August 2018.