باج‌گیر افزار KillDisk لینوکس را مورد حمله قرار داده و تقاضای باجی ۲۵۰٫۰۰۰ دلاری کرده است، اما فایل‌ها را رمزگشایی نخواهد کرد.

اگر شما توسط یک باج‌گیر افزار آلوده شوید، چه کاری انجام می‌دهید؟ آیا شما برای بازیابی فایل‌های خود مبلغ درخواستی را پرداخت خواهید کرد یا نه؟

شاید باورش سخت باشد، اما FBI پیشنهاد می‌کند که اگر از فایل‌های خود پشتیبان ندارید، مبلغ درخواستی را به مجرمان پرداخت کنید تا بتوانید فایل‌های خود را بازیابی کنید.

اما پرداخت کردن باجِ درخواست شده به مجرمان سایبری، قطعاً راه‌حل هوشمندانه‌ای نیست چراکه هیچ‌گونه تضمینی وجود ندارد که شما بتوانید پس از پرداخت پول، کلید رمزگشایی فایل‌های خود را دریافت کنید.

در آخرین مورد مشاهده شده، نوع جدیدی از باج‌گیر افزار KillDisk پیدا شده است که سیستم‌های دارای سیستم‌عامل لینوکس را مورد هدف قرار می‌دهد و با پاک کردن فایل‌های آن از بالا آمدن سیستم نیز جلوگیری می‌کند.

KillDisk چیست؟ KillDisk نوعی بدافزار پاک کردن داده‌هاست که اخیراً برای ایجاد خرابکاری در شرکت‌ها توسط پاک کردن تصادفی فایل‌های موجود در کامپیوترهایشان مورد استفاده قرار گرفته است.

KillDisk دارای جزئی مشابه با بدافزار Balck Energy است که برای صدمه زدن به چندین نیروگاه برق در اوکراین در سال ۲۰۱۵ مورد استفاده قرار گرفت و موجب قطع برق هزاران نفر شد.

اما بر طبق گفته محققان در شرکت امنیتی ESET، بدافزار پاک کننده دیسک KillDisk با شکل و شمایل جدید بازگشته است و کامپیوترهای دسکتاپ دارای سیستم‌عامل ویندوز یا لینوکس و همین‌طور سرورها را مورد هدف قرار داده است. این نوع جدید از بدافزار KillDisk، فایل‌ها را رمزنگاری کرده و میزان باج زیاد و غیرمعمولی را درخواست می‌کند[۱]:

حدود ۲۱۸٫۰۰۰ دلار که باید به صورت BitCoin پرداخت شود، که احتمالاً گران‌ترین حمله باج‌خواهی در جهان باشد.

موضوع بدتر چیست؟ نوع لینوکسی باج‌گیر افزار KillDisk کلید رمزگشایی را در هیچ کجای دیسک و یا حتی سرور command-and-control ذخیره نمی‌کند.

بنابراین، حتی در صورت پرداخت این باج که میزانش بسیار زیاد نیز هست، شما هیچ‌گونه کلید بازگشایی برای بازیابی فایل‌های مهم خود دریافت نخواهید کرد.

خبر خوب این است که محققان شرکت ESET یک ضعف در نسخه لینوکسی این باج‌گیر افزار پیدا کرده‌اند که امکان بازیابی فایل‌های رمزنگاری شده را فراهم می‌کند، اگرچه بسیار سخت است. اما این ضعف در نسخه ویندوزی باج‌گیر افزار KillDisk وجود ندارد.

KillDisk فایل‌های شما را پاک خواهد کرد، حتی پس از پرداختن مبلغ ۲۱۸٫۰۰۰ دلار

بر طبق گفته محققان، فایل‌های مربوط به قربانی که توسط نسخه لینوکس این باج‌گیر افزار آلوده شده است توسط “Triple-DES applied to 4096-byte file blocks” رمزنگاری شده است و هر فایل بر روی کامپیوتر توسط یک مجموعه متفاوت از کلیدهای رمزنگاری ۶۴ بیتی رمز شده است.

این باج‌گیر افزار سپس یک نوشته باج‌گیری را به شیوه‌ای غیرمعمول توسط GRUB bootloader نمایش می‌دهد که بدین معنی است که باج‌گیر افزار تحت لینوکس KillDisk ورودی‌های bootloader را overwrite  کرده تا متن مربوط به باج‌گیری را نمایش دهد که تقاضای پرداخت ۲۲۲ بیت کوین توسط کاربر است.

اما پرداخت کردن این میزان باج به مجرمان، فایل‌های شما را بازیابی نخواهد کرد، چراکه نسخه لینوکسی این باج‌گیر افزار کلیدهای رمزگشایی را در هیچ کجا ذخیره نمی‌کند.

Robert Lipovský، پژوهشگر ارشد شرکت ESET، می‌گوید: “KillDisk مثال دیگری است که چرا پرداخت باج نباید به عنوان یک گزینه در نظر گرفته شود. در هنگام معامله با مجرمان، هیچ‌گونه تضمینی برای بازیابی فایل‌هایتان وجود ندارد. در این مورد به وضوح مشخص است که مجرمان نمی‌خواهند به عهد خود وفا کنند.”

بهترین کار، پیشگیری است.

بنابراین، مطمئن‌ترین راه برای برخورد با باج‌گیر افزارها، پیشگیری است. بهترین راه مقابله با باج‌گیرافزارها، بالا بردن آگاهی در سازمان‌ها و تهیه کردن منظم پشتیبان از فایل‌های مهم است.

بیشتر ویروس‌ها با باز کردن ضمیمه‌های آلوده یا کلیک کردن بر روی لینک‌های مربوط به بدافزارها که در پست‌های الکترونیکی (Spam) وجود دارند، منتشر می‌شوند. بنابراین، به هیچ عنوان، بر روی لینک‌هایی که در پست‌های الکترونیک و ضمیمه‌هایی که مربوط به منابع ناشناس هستند، کلیک نکنید.

علاوه بر این، از اینکه سیستم شما دارای آخرین نسخه آنتی‌ویروس به همراه آخرین به‌روزرسانی‌های مربوط به تشخیص بدافزارهاست، اطمینان حاصل کنید.

منابع

[۱] http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt

[۲] http://thehackernews.com/2017/01/linux-ransomware-malware.html