گسترش باج‌افزار خطرناک TYRANT در ایران

گسترش باج‌افزار خطرناک TYRANT در ایران

براساس آخرین گزارش‌ها، یک باج‌افزار ایرانی با نام TYRANT که نسخه‌ تغییریافته‌ باج‌افزار DUMB است، در حال گسترش در داخل کشور است.

به گزارش ایسنا، این باج‌افزار به زبان برنامه‌نویسی نوشته‌شده و با استفاده از روش‌های مبهم‌سازی از دیباگ شدن خود جلوگیری می‌کند و درحال ‌حاضر توسط بسیاری از آنتی‌ویروس‌‌ها قابل‌ شناسایی است.

با توجه به شواهد موجود این امکان وجود دارد که نسخه بعدی این باج‌افزار بعد از این نسخه وارد عمل شود که از روش‌های پیچیده‌تری استفاده کند و به زودی منتشر شود.

خوشبختانه از آنجا که این باج‌افزار با استفاده از زبان برنامه‌نویسی نامناسب نوشته شده است، در آن از روش مبهم‌سازی نه‌چندان پیشرفته استفاده شده است.

 بنا بر اعلام مرکز آپا دانشگاه کردستان موفق به دستیابی به سورس‌کد اصلی باج‌افزار شد و با آنالیزهایی که بر روی سورس‌کد آن صورت گرفت، مشخص شد که این باج‌افزار نسخه ویرایش شده‌ نمونه‌ موجود در اینترنت است که با آنالیز خط‌به‌خط سورس‌کد می‌توان کلید خصوصی ایجاد شده باج‌افزار جهت رمزگشایی فایل‌‌ها را شناسایی کرده و موفق به رمزگشایی فایل‌‌ها شد.

این باج افزار برروی بسیاری از سیستم‌عامل‌های مایکروسافت نمی‌تواند کار خود را انجام دهد، اما با این وجود خسارات زیادی را وارد کرده است.

شواهد نشان می‌دهد که قربانیان باج‌افزار بیش‌تر افرادی هستند که از فیلترشکن سایفون برای برقراری ارتباط با اینترنت استفاده می‌کنند.

نباید از خاطر دور داشت که امکان انتشار باج افزار از طریق سایر روش‌های مرسوم نیز همچنان امکان‌پذیر است.

لذا مرکز آپا دانشگاه کردستان به‌کاربران توصیه می‌کند که با رعایت موارد امنیتی از ورود این باج‌افزار به داخل سیستم پیشگیری کنند.

باج‌افزاری خطرناک در پوشش سایفون

باج‌افزار TYRANT برای هدف قراردادن کاربران فارسی‌زبان طراحی شده و از طریق شبکه‌های اجتماعی با فریفتن کاربران، آنها را به دریافت و اجرای فایلی اجرایی با ظاهر سایفون تشویق می‌کند که در حقیقت حاوی بدافزار هستند.

باج‌افزاری موسوم به TYRANT با الهام از یک باج‌افزار متن باز در فضای سایبری منتشر شده است که از صفحه باج‌خواهی به زبان فارسی به شکل زیر استفاده می‌کند و طبیعتاً برای هدف قراردادن کاربران فارسی زبان طراحی شده است. این باج‌افزار در محیط‌های سیستم عامل‌ ویندوزی عمل می‌کند. تا این لحظه تقریباً تنها نیمی از آنتی‌ویروس‌های معتبر، قادر به شناسایی این بدافزار هستند.

این باج‌افزار با قفل کردن دسترسی به سامانه‌های قربانی و رمز کردن فایل‌های سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیرقابل پیگیری تلگرام(@Ttypern) و ایمیل(rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده می‌کند.

با توجه به اطلاعات سایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)، روش انتشار این باج‌افزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکه‌های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می‌کند که در حقیقت حاوی بدافزار هستند.

البته با توجه به ماهیت حمله، استفاده از دیگر روش‌های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب‌سایت آلوده یا RDP حفاظت‌ نشده نیز محتمل است. روش انتقال باج که این باج‌افزار از آن استفاده می‌کند، Web money است و سازنده باج‌افزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب‌سایت‌های فارسی ارایه‌کننده این نوع از ارز الکترونیکی توسط باج‌افزار معرفی می‌شوند.

تحلیل‌های اولیه نشان می‌دهد که احتمالاً این نسخه اول یا آزمایشی از یک حمله بزرگ‌تر باشد چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایل‌ها، گاهی باج‌افزار موفق به رمزگذاری فایل‌های قربانی نمی‌شود و از آن مهم‌تر این‌که با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از Restart کردن سیستم نمی‌شود. با وجود این به نظر نمی‌رسد که تا کنون از محل این باج‌افزار خسارت قابل توجهی ایجاد شده باشد.

 

برای جلوگیری از آلوده شدن به این باج‌افزار راه‌های متعدی وجود دارد از جمله پرهیز از دریافت فایل‌های اجرایی در شبکه‌های اجتماعی و اجرای فایل‌های ناشناخته و مشکوک، خودداری از دانلود و اجرای فایل‌های پیوست ایمیل‌های ناشناس و هرزنامه‌ها، دقت ویژه در به‌روزرسانی دائم سیستم عامل و آنتی‌ویروس، دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی و عدم استفاده از مجوز دسترسی (Administrator) روی سیستم‌های کاربران سازمان.