گسترش باجافزار خطرناک TYRANT در ایران براساس آخرین گزارشها، یک باجافزار ایرانی با نام TYRANT که نسخه تغییریافته باجافزار DUMB است، در حال گسترش در داخل کشور است. به گزارش ایسنا، این باجافزار به زبان برنامهنویسی نوشتهشده و با استفاده از روشهای مبهمسازی از دیباگ شدن خود جلوگیری میکند و درحال حاضر توسط بسیاری از […]
گسترش باجافزار خطرناک TYRANT در ایران
براساس آخرین گزارشها، یک باجافزار ایرانی با نام TYRANT که نسخه تغییریافته باجافزار DUMB است، در حال گسترش در داخل کشور است.
به گزارش ایسنا، این باجافزار به زبان برنامهنویسی نوشتهشده و با استفاده از روشهای مبهمسازی از دیباگ شدن خود جلوگیری میکند و درحال حاضر توسط بسیاری از آنتیویروسها قابل شناسایی است.
با توجه به شواهد موجود این امکان وجود دارد که نسخه بعدی این باجافزار بعد از این نسخه وارد عمل شود که از روشهای پیچیدهتری استفاده کند و به زودی منتشر شود.
خوشبختانه از آنجا که این باجافزار با استفاده از زبان برنامهنویسی نامناسب نوشته شده است، در آن از روش مبهمسازی نهچندان پیشرفته استفاده شده است.
بنا بر اعلام مرکز آپا دانشگاه کردستان موفق به دستیابی به سورسکد اصلی باجافزار شد و با آنالیزهایی که بر روی سورسکد آن صورت گرفت، مشخص شد که این باجافزار نسخه ویرایش شده نمونه موجود در اینترنت است که با آنالیز خطبهخط سورسکد میتوان کلید خصوصی ایجاد شده باجافزار جهت رمزگشایی فایلها را شناسایی کرده و موفق به رمزگشایی فایلها شد.
این باج افزار برروی بسیاری از سیستمعاملهای مایکروسافت نمیتواند کار خود را انجام دهد، اما با این وجود خسارات زیادی را وارد کرده است.
شواهد نشان میدهد که قربانیان باجافزار بیشتر افرادی هستند که از فیلترشکن سایفون برای برقراری ارتباط با اینترنت استفاده میکنند.
نباید از خاطر دور داشت که امکان انتشار باج افزار از طریق سایر روشهای مرسوم نیز همچنان امکانپذیر است.
لذا مرکز آپا دانشگاه کردستان بهکاربران توصیه میکند که با رعایت موارد امنیتی از ورود این باجافزار به داخل سیستم پیشگیری کنند.
باجافزاری خطرناک در پوشش سایفون
باجافزار TYRANT برای هدف قراردادن کاربران فارسیزبان طراحی شده و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را به دریافت و اجرای فایلی اجرایی با ظاهر سایفون تشویق میکند که در حقیقت حاوی بدافزار هستند.
باجافزاری موسوم به TYRANT با الهام از یک باجافزار متن باز در فضای سایبری منتشر شده است که از صفحه باجخواهی به زبان فارسی به شکل زیر استفاده میکند و طبیعتاً برای هدف قراردادن کاربران فارسی زبان طراحی شده است. این باجافزار در محیطهای سیستم عامل ویندوزی عمل میکند. تا این لحظه تقریباً تنها نیمی از آنتیویروسهای معتبر، قادر به شناسایی این بدافزار هستند.
این باجافزار با قفل کردن دسترسی به سامانههای قربانی و رمز کردن فایلهای سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیرقابل پیگیری تلگرام(@Ttypern) و ایمیل(rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده میکند.
با توجه به اطلاعات سایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکند که در حقیقت حاوی بدافزار هستند.
البته با توجه به ماهیت حمله، استفاده از دیگر روشهای مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وبسایت آلوده یا RDP حفاظت نشده نیز محتمل است. روش انتقال باج که این باجافزار از آن استفاده میکند، Web money است و سازنده باجافزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وبسایتهای فارسی ارایهکننده این نوع از ارز الکترونیکی توسط باجافزار معرفی میشوند.
تحلیلهای اولیه نشان میدهد که احتمالاً این نسخه اول یا آزمایشی از یک حمله بزرگتر باشد چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایلها، گاهی باجافزار موفق به رمزگذاری فایلهای قربانی نمیشود و از آن مهمتر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از Restart کردن سیستم نمیشود. با وجود این به نظر نمیرسد که تا کنون از محل این باجافزار خسارت قابل توجهی ایجاد شده باشد.
برای جلوگیری از آلوده شدن به این باجافزار راههای متعدی وجود دارد از جمله پرهیز از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک، خودداری از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها، دقت ویژه در بهروزرسانی دائم سیستم عامل و آنتیویروس، دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی و عدم استفاده از مجوز دسترسی (Administrator) روی سیستمهای کاربران سازمان.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.