کشف باج‌افزار جدید با رمزنگاری به شدت قدرتمند

کشف باج‌افزار جدید با رمزنگاری به شدت قدرتمند

 


به گزارش موسسه امنیتی فورتیگارد این گونه جدید به نام Nemty شناخته می شود و اخیراً توسط یک بات توییتر که لینک های مربوط به کدهای بد افزارها را منتشر می کند، به اشتراک گذاشته شده. متخصصان حین بررسی کدهای این بد افزار متوجه شده اند که شباهت های زیادی بین این نمونه با باج افزار GandCrab وجود دارد؛ باج افزاری که مدتی قبل توسعه دهندگان آن به دلیل به دست آوردن پول کافی، خبر از بازنشستگی خود داده بودند. علاوه بر این نحوه انتشار این بدافزار شباهت های فراوانی با بدافزار سودینوکیبی (بدافزاری بسیار شبیه به GandCrab) دارد.

سودینوکیبی که به نام سودین و REvil هم شناخته می شود بدافزاری است که از روش هایی از جمله آسیب پذیری های روز صفر و کنسول های نرم افزارِ کنترل از دور برای آلوده کردن سیستم ها بهره می برد.

کلیدی که امکان رمز گشایی فایل های قفل شده توسط باج افزار را فراهم می کند کشف شده و به همین دلیل احتمالاً Nemty یک «باج افزار به عنوان سرویس» است. در بین کدها، بخش هایی مرتبط با بررسی آدرس آی پی کشورهای روسیه، بلاروس، قزاقستان، تاجیکستان و اوکراین به چشم می خورند؛ اما رمزنگاری می تواند بدون توجه به موقعیت مکانی کاربر انجام شود. تمامی این ها این تصور را ایجاد می کند که گروه احتمالی توسعه دهنده باج افزار Nemty احتمالاً تا پیش از بازنشستگی به تلاش برای توسعه آن ادامه داده است.

به گفته محققان بررسی های فنی Nemty نشان می دهد که بی نظمی های زیادی در کدهای این بدافزار وجود دارد و به همین دلیل احتمالاً مراحل اولیه توسعه را سپری می کرده است. همچنین یک صفحه پرداخت در شبکه Tor ایجاد شده که خبر از رمز گشایی فایل های قفل شده با پرداخت بیت کوین به ارزش معادل با هزار دلار می دهد.

در حالی که قابلیت هایی برای ارسال اطلاعات مرتبط با رمز نگاری داده های قربانی به سرور کنترل باج گیران طراحی شده اما در حال حاضر آدرس آی پی مربوط به سرور یافت نشده و به جای آن یک آدرس لوپ بک مشاهده می شود. به گفته محققان احتمالاً سرور هنوز به طور کامل و برای دریافت داده ها پیکربندی نشده است.

باج افزار Nemty برای قفل کردن اطلاعات قربانی از روش های رمزنگاری base64 و RC4 بهره می برد. گفته شده که ابتدا از یک مقدار 32 بیتی به عنوان کلید AES-128 استفاده می شود و سپس یک کلید متناظر RSA-2048 تولید می شود. پس از آن به طور غیر معمول از رمز نگاری RSA با اندازه کلید 8192 بیت استفاده می شود تا فایل مربوط به پیکربندی و کلید خصوصی، رمزنگاری شوند.

به گفته محققانِ فورتیگارد معمولاً رشته های 2048 و 4096 بیتی هم برای رمزنگاری و ایمن کردن پیام ها کافی هستند. به همین دلیل استفاده از رشته 8192 بیتی به این منظور بیش از حد نیاز است. علاوه بر این طول کلید بزرگتر موجب می شود زمان تولید کلید و نیز زمان مورد نیاز برای رمزگشایی به طور قابل ملاحظه ای افزایش یابد.

استفاده از رمز نگاری به شدت قوی به این معنی است که سیستم قربانی عملاً قابلیت رمز گشایی را ندارد. این موضوع چندان خوشایند نیست چرا که گاه راهکارهای ارائه شده از سوی شرکت های سایبری تنها روش برای بازیابی فایل های قفل شده توسط باج افزارها (بدون پرداخت به تولید کنندگان آن) هستند.

در نهایت محققان اشاره کرده اند که باج افزار Nemty با اینکه همچنان در مرحله توسعه قرار دارد، می تواند به طور مؤثری فایل ها را رمزنگاری کند و یک تهدید جدی به حساب می آید. در صورتی که نسخه کامل تری از این بدافزار عرضه شود نگرانی ها بیش از پیش افزایش خواهد یافت