info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

باج‌افزاری جدید برای سیستم عامل مک در نقاب کرک نرم‌افزار

خلاصه: باج‌افزار جدیدی مختص سیستم‌های مبتنی بر سیستم عامل Mac OS کشف شده که خود را به عنوان کرک نرم‌افزار‌های پولی جا می‌زند. این باج‌افزار از طریق تورنت پخش شده است. خبر بد در مورد این باج‌افزار این است که فایل‌هایی که توسط این باج‌افزار رمز می‌شود قابل بازگردانی نیست.

محققان شرکت ESET باج‌افزار جدید رمز‌کننده‌ای را کشف کرده‌اند که کاربران سیستم‌عامل مک را مورد هدف قرار داده است. این باج‌افزار خود را به عنوان کرک برنامه‌های پولی همچون Microsoft Office و Adobe Premier Pro یا نرم‌افزار‌های پولی دیگر جا می‌زند.  این ابزار با استفاده از سایت‌های بیت‌تورنت پخش می‌شود.

کاربرانی که این فایل زیپ را که محتوی باج‌افزار است دانلود می‌کنند و آن را اجرا می‌کنند با صفحه‌ای روبرو می‌شوند که دکمه شروع برای کرک کردن نرم‌افزار دارد. اما در واقع با زدن دکمه شروع، در پس زمینه فرایند رمز کردن فایل‌ها شروع می‌شود!

این باج‌افزار از یک کلید تصادفی به طول رشته ۲۵ کاراکتر به عنوان کلید رمزنگاری استفاده می‌کند. با استفاده از این کلید فایل‌هایی که در مسیر Users قرار دارد و همچنین حافظه‌های جانبی و تحت شبکه را رمز کرده و در آخر فایل‌های اصلی را پاک می‌کند.

پس از رمز‌کردن فایل‌ها یک متن باج خواهی روی سیستم به نمایش در می‌آید که تقاضای باج به مبلغ ۰.۲۵ بیت‌کوین می‌کند. در این متن از کاربر می‌خواهد که این مبلغ را به یک حساب مشخص انتقال دهد و کامپیوتر خود را در طول ۲۴ ساعت آینده متصل به اینترنت نگه دارد تا فایل‌ها رمز‌گشایی شوند.

اما متاسفانه این ادعای بی اساس است. زیرا رمز‌کننده توانایی ارتباط با سرور کنترل و فرمان را ندارد و این به این معنی است که در سرور کلید رمزنگاری و رمزگشایی وجود ندارد که بتواند فایل‌های شما را رمزگشایی کرده و بازگرداند.

کلید رمزنگاری که تولید می‌شود با استفاده از arc4random_uniform تولید شده که یک تولید‌کننده عدد تصادفی امن است.  همچنین کلید رمزنگاری به اندازه کافی طولانی بوده و امکان حمله جستجوی کامل بر روی آن وجود ندارد.

این باج‌افزار از روش پیچیده‌ای استفاده نمی‌کند و حتی ایراد‌هایی هم در پیاده سازی دارد؛ ولی متاسفانه رمزنگاری فایل‌ها را به خوبی انجام می‌دهد و نمی‌توان بدون کلید رمزگشایی فایل‌های رمز شده را بازگرداند.

در کل هیچ وقت توصیه نمی‌شود که برای بازگرداندن فایل‌ها باج را پرداخت کنید. زیرا در این صورت هیچ تضمینی وجود ندارد که با پرداخت پول کلید رمزگشایی در اختیار شما قرار گیرد و فایل‌های شما بازگردانده شود. همچنین شما با پرداخت باج در واقع دارید هکر‌های پشت این بدافزار‌ها را تقویت کرده و ترغیب به تولید بیشتر باج‌افزار‌ها می‌کنید که ممکن است قربانی بعدی باز هم شما باشید. مخصوصا در خصوص این باج‌افزار مطمینا پس از پرداخت باج کلید رمزگشایی در اختیار شما قرار نمی‌گیرد چون اصلا کلیدی روی سرور ذخیره نشده است!