اگر رایانه شما با باجگیر افزار Thanatos آلوده شده است و شما در جستجوی ابزار واضح کردن رایگان این باجگیر افزار برای باز کردن یا واضح کردن فایلهای خود هستید، جستجوی شما در اینجا به پایان میرسد.
محققان امنیتی در Cisco Talos یک نقص در کد باجگیر افزار Thanatos کشف کردهاند که باعث میشود تا قربانیان فایلهای رمزگذاری شده Thanatos خود را بهصورت رایگان و بدون پرداخت هیچگونه باجی بهصورت ارزهای رمزنگاریشده، باز کنند.
مانند تمام تهدیدات باجگیر افزاری، Thanatos فایلها را رمزگذاری میکند و از قربانیان درخواست میکند تا باج مربوطه را در قالب چندین ارز رمزنگاریشده ازجمله Bitcoin Cash، بهمنظور واضح کردن فایلهای خود بپردازند.
محققان میگویند: “چندین نسخه از Thanatos توسط مهاجمان مورداستفاده قرار گرفته است، که نشان میدهد این یک تهدید در حال تکامل است که همچنان بهطور فعال توسط مجرمان سایبری با نسخههای متعدد توسعهیافته و در سطح اینترنت منتشر میشود.”
“برخلاف دیگر باجگیر افزارها که معمولاً منتشر میشوند، Thanatos درخواست پرداخت باج را با استفاده از تنها یک ارز رمزنگاریشده مانند بیت کوین نمیکند. در عوض، مشاهده شده است که از پرداختهای باج بهصورت Bitcoin Cash ،Zcash ،Ethereum و دیگر ارزهای رمزنگاریشده پشتیبانی میکند.”
پس از آلوده کردن، تمام پسوندهای نام فایلهای رمزگذاری شده در کامپیوتر آسیبدیده بهTHANATOS تبدیل میشوند و پسازآن هر بار که کاربر تلاش میکند به سیستم وارد شود، یک دستورالعمل نمایش داده میشود که چگونه باج درخواستی را به یک آدرس کیف پول رمزنگاریشدهی سختافزاری بهمنظور واضح کردن فایلها ارسال کند.
بااینحال، ازآنجاکه Thanatos برای رمزگذاری هر فایل در یک سیستم آلوده از کلیدهای رمزنگاری متفاوت استفاده میکند و فایلها را در هیچ منبع دیگری ذخیره نمیکند، برای نویسندگان این بدافزار غیرممکن است که دادههای کاربران را بازگردانند، حتی اگر قربانیان باج درخواستی را پرداخت کنند.
ابزار رایگان واضح کردن باجگیر افزار Thanatos
محققان سیسکو، کدهای این دژافزار را تجزیهوتحلیل کردند و یک loophole در طراحی روش رمزنگاری فایل مورداستفاده توسط Thanatos پیدا کردند که با استفاده از آن یک ابزار رمزگشایی رایگان باجگیر افزار را توسعه دادند که به قربانیان کمک میکند که فایلهای خود را واضح کنند.
این ابزار که ThanatosDecryptor نامیده شده است[۱] یک ابزار رایگان واضح کردن باجگیر افزار است که میتواند از وبسایت GitHub بارگیری شود که اخیراً توسط مایکروسافت و به مبلغ ۷٫۵ بیلیون دلار خریداریشده و بر روی نسخههای ۱ و ۱٫۱ باجگیر افزار Thanatos قابل اجراست.
ازآنجاکه کلیدهای رمزنگاری استفادهشده توسط Thanatos بر اساس تعداد میلیثانیههای از زمان آخرین بوت شدن سیستم حاصل میشود، محققان توانستند این منطق را مهندسی معکوس کنند و همان کلید رمزنگاری ۳۲ بیتی را با استفاده از حملهی brute force و Windows Event Logs دوباره تولید کنند.
محققان توضیح میدهند: “ازآنجاکه Thanatos تاریخهای ایجاد فایل را در فایلهای رمز شده تغییر نمیدهد، فضای جستجوی کلید میتواند بهطور تقریبی به تعداد میلیثانیهها در طول ۲۴ ساعت قبل از آلوده شدن کاهش یابد.”
“بهطور متوسط ۱۰۰٫۰۰۰ تلاشِ brute-force در ثانیه (که حداقل تعداد(۱) در یک ماشین مجازی مورداستفاده برای آزمایش بود)، تقریباً ۱۴ دقیقه طول خواهد کشید تا کلید رمزنگاری در این شرایط بازیابی شود.”
برای جزئیات بیشتر در مورد باجگیر افزارThanatos ، شما میتوانید به پست وبلاگ منتشرشده توسط Cisco Talos مراجعه کنید[۲].
نحوه محافظت از خود در برابر حملات باجگیر افزار
اغلب باجگیر افزارها از طریق پستهای الکترونیک فیشینگ، آگهیهای موذی در وبسایتها و برنامههای شخص ثالث پخش میشوند. اینکه آیا این باجگیر افزار Locky، CoinVault، Thanatos، TeslaCrypt یا هر برنامه دژافزار دیگری باشد، اقدامات حفاظتی در برابر آن استاندارد است.
برای محافظت در برابر حملات باجگیر افزاری، همیشه باید نسبت به اسناد ناخواستهی ارسالشده در پستهای الکترونیک مشکوک باشید و هرگز بر روی پیوندهای موجود در آن اسناد کلیک نکنید، مگر اینکه منابع آنها مورد تأیید شما باشند.
بررسی کنید آیا macroها در برنامه MS Office شما غیرفعال هستند یا نه. اگر نه، اجراشدن macroها را در فایلهای MS Office که بر روی اینترنت اجرا میشوند را غیرفعال کنید.
برای اینکه همیشه به اسناد مهم خود دسترسی داشته باشید، یک نسخه پشتیبان خوب در یک محل خارجی دیگر تهیه کنید که همیشه به کامپیوتر شما متصل نیست.
علاوه بر این، اطمینان حاصل کنید که یک مجموعه امنیتی ضدویروس مبتنی بر رفتار(۲) بر روی سیستم خود اجرا کنید که میتواند اینگونه دژافزارها را قبل از آلوده کردن سیستم شما، شناسایی و مسدود کند و همیشه به یاد داشته باشید که آنها را بهروز نگه دارید.
منابع
[۱] https://github.com/Cisco-Talos/ThanatosDecryptor
[۲] https://blog.talosintelligence.com/2018/06/ThanatosDecryptor.html
[۳] https://thehackernews.com/2018/06/free-ransomware-decryption-tools.html
(۱) baseline
(۲) behavioral-based
ثبت ديدگاه