#امنیت ؛ در این مقاله به معرفی و بررسی باج افزار جدید Locky می پردازیم سپس راه های جلوگیری از نفوذ این باج افزار را بررسی می کنیم . با ما همراه باشید : 

 

معمولاً باج‌افزارها و سایر تهدیدات سایبری توسط روش‌های معمول و سنتی مانند سامانه‌های ضدبدافزار، بررسی عمیق بسته‌ها و یا جعبه‌های شنی، شناسایی و مشاهده نمی‌شوند. گزارشی که توسط آزمایشگاه Lastline منتشر شده، نشان می‌دهد ۵۱ درصد از بدافزارهای روز-صفرم توسط سامانه‌های ضدبدافزار شناسایی نشده‌اند. ( باج افزار جدید )

 

یکی از باج‌افزارهای قدرتمند که در یک سال اخیر بسیاری از سازمان‌ها و اشخاص را تهدید کرده، باج‌افزار Locky است. این باج‌افزار توانسته در طول یک روز ۱۰۰ هزار دستگاه را آلوده کند. محققان امنیتی تخمین می‌زنند سهم باج‌افزار Locky در آلودگی‌های باج‌افزاری برابر با ۱۷ درصد بوده است. ( باج افزار جدید )

 

پیش از پرداختن به بحث اصلی، بد نیست سری به آمار و ارقام بزنیم تا از قدرت و گستره‌ی نفوذ این باج‌افزار مطلع شویم. در سه‌ماهه‌ی دوم سال ۲۰۱۶ از هر ۱۰ رایانامه‌ای که حاوی ضمیمه‌ی مخرب بودند، ۷ مورد باج‌افزار Locky را توزیع می‌کردند. میانگین مقدار باج که این بدافزار درخواست می‌کند چیزی حدود ۴۵۹ دلار است. این باج‌افزار می‌تواند ۱۶۰ نوع پرونده را رمزنگاری کند. تاکنون بیشترین باجی که این باج‌افزار دریافت کرده ۱۷ هزار دلار است. تعداد دستگاه‌هایی که روزانه در سراسر جهان به این باج‌افزار آلوده می‌شوند ۹۰ هزار دستگاه است. باج‌افزار Locky در حال حاضر روزانه سودی برابر با ۱.۶ میلیون دلار را عاید نویسندگان این باج‌افزار می‌کند.
باج افزار جدید   باج افزار جدید Locky 101
باج‌افزار Locky معمولاً توسط پویش‌های هرزنامه‌ای توزیع شده و ادعا می‌کند که حاوی ضمیمه‌ای با عنوان فاکتور است. باوجود تمامی آموزش‌هایی که به کاربران داده شده تا بر روی پیوندهای مشکوک کلیک نکنند، با این‌حال باج‌افزار بسیار زرنگ بوده و حتی کارکنان بخش فناوری اطلاعات را نیز فریب می‌دهد و در نهایت کاربران بر روی این پیوند کلیک کرده و بدافزار بارگیری می‌شود. ( باج افزار جدید )

 

پس از اینکه باج‌افزار بارگیری شد، به کارگزار دستور و کنترل خود متصل می‌شود تا کلیدهای مورد نیاز برای رمزنگاری پرونده‌ها را دریافت کند. سه روش معمول و شناخته‌شده وجود دارد که باج‌افزار از طریق این روش‌ها می‌تواند با کارگزار دستور و کنترل خود ارتباط برقرار کند:

 

• ارتباط مستقیم IP
• استفاده از تعدادی دامنه‌ی ثابت
• استفاده از الگوریتم‌های تولید دامنه۱ مبتنی بر زمان که مجموعه‌ای از دامنه‌های تصادفی را تولید می‌کند که تنها برای چند روز معتبر هستند.

 

در این پست قرار است از نقش سرویس DNS در این مرحله صحبت کنیم. محققان امنیتی می‌توانند داده‌های DNS را تحلیل کرده و سازوکار استفاده‌شده در ارتباطات دستور و کنترل را کشف کنند. اگر بتوان این ارتباطات را مسدود کرد، قابلیت‌های باج‌افزار Locky در رمزنگاری پرونده‌ها محدود می‎شود و کاربرانی که سامانه‌های آن‌ها آلوده شده، از امنیت بیشتری برخوردار خواهند بود.

 

متأسفانه الگوریتم‌های تولید دامنه‌ای که توسط Locky برای ایجاد دامنه‌های دستور و کنترل مورد استفاده قرار می‌گیرد با یک مقدار امنیتی اولیه ترکیب شده و مسدود کردن این دامنه‌ها را مشکل می‌سازد. باج‌افزار Locky دائماً این مقدار اولیه را تغییر می‌دهد و مهندسیِ معکوس بدافزار برای یافتن این مقدار اولیه بسیار دشوار است. هر مقدار اولیه موج جدیدی از بهره‌برداری‌ها را نشان می‌دهد. ( باج افزار جدید )

 

اما بررسی‌های انجام‌شده بر روی پرس‌وجوهای گمنام DNS با استفاده از روش‌های تشخیص ناهنجاری و فناوری‌های همبستگی نشان می‌دهد که شناسایی این دامنه‌های مشکوک که توسط Locky مورد استفاده قرار می‌گیرد، به‌طور بلادرنگ امکان‌پذیر است. شرکت فورس‌پوینت یکی از شرکت‌هایی است که بر روی الگوریتم‌های تولید دامنه‌ی‌ باج‌افزار Locky کارهایی را انجام داده است. با داشتن الگوریتم‌های تولید دامنه و انجام پردازش‎های دیگر بر روی دامنه‌های مشکوک، می‌توان مقادیر اولیه‌ی جدید که Locky استفاده می‌کند را شناسایی کرد. ( باج افزار جدید )

 

مقالات مرتبط :
بدافزارهای چینی سامانه‌های کشور روسیه را هدف قرار داده‌اند
بازگشت بدافزار جدید پس از یک دهه !

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.