معرفی باج افزار Filecode

هفته پیش لابراتور Sophos  تشخیص باج افزار جدیدی با نام Filecode را اعلام کرد که ما در ادامه به معرفی باج افزار Filecode می پردازیم .

با وجود تعداد زیاد بدافزار هایی که هر روز سر و کله شان پیدا می شود شاید شناسایی یک باج افزار  خیلی جذابیت خبری نداشته باشد اما این یکی از بقیه خیلی فرق دارد …

چرا که هدف این بدافزار سیستم عامل Mac هست.  (هوادارای ویندوز لطفا پوزخند نزنید!)

در حقیقت ، این بدافزار ، برای Mac ، توسط یک کاربر Mac و روی Mac نوشته شده است به جای اینکه یک بدافزار پورت شده از یک سیستم عامل دیگر باشد!

این بدافزار توسط  Sophos  با نام OSX/Filecode-K یا OSX/Filecode-L شناسایی و مسدود شده است.

بدافزار مذکور در زبان Swift نوشته شده،  زبان برنامه نویسی ای که اخیرا توسط اپل ارایه شده  و در اکثر موارد مختص پلتفرم  Mac و آی او اس می باشد.

بیشتر درباره Swift بخوانید.

خوشبختانه  به دلایل زیر این بدافزار برای شما دردسر ساز نخواهد بود :

  •  این بدافزار در اکثر موارد فقط در سایت های ارایه دهنده ابزار های کرک دیده شده است ، پس اگر از این قبیل سایت ها دور بمانید ، تقریبا در امان هستید.
  • بدافزار مذکور متکی به ابزار های داخلی MacOS است تا فایل های هدف را پیدا و رمزگذاری کند. بدافزار به صورت بهینه و مطمئن از این ابزار ها استفاده نمی کند. در نتیجه در آزمایشات ما ، بعضی اوقات بعد از رمزگذاری چند فایل ، بدافزار شنایایی شده و گیر می افتد .
  • بدافزار از الگوریتم رمزگزاریی استفاده می کند که در اکثر موارد قابل شکستن است ، البته بدون پرداخت هیچ باجی ! تا وقتی که شما فایل های رمزگزاری شده را داشته باشید ، با استفاده از یک سری ابزار های رایگان میتوانید خودتان آن ها را برگردانید.

دلیل اینکه فایل ها را می توان به راحتی بازگرداند این است که کلاهبردارِ پشت این بدافزار نمی توانداز کد های تصادفی ساخته شده برای هر کامپیوتر ، یک کپی برای خود نگه دارد.

ما به اینطور بدافزار ها ، عبارت بی در و پیکر را نسبت میدهیم چون که کلاهبرداران آنقدر تنبل بودند که زحمت نکشیدند که یک سیستم پرداخت فراهم کنند ، فایل های شما به هم بریزند و یا پاک کنند ، کلید را دور بیاندازند و سپس از شما درخواست پول کنند به امید اینکه بعضی قربانی ها مبلغی پرداخت کنند!!

درباره CryptoLocker بیشتر بخوانید.

در اینجا 3 نسخه از Filecode را به شما معرفی می کنیم . یکی ادعا میکند کرک Adobe Premiere هست ، دیگری ادعا می کند کرک Office 2016 است و در نهایت نسخه سوم با نام Prova قرار نبود به این زودی ها عرضه شود ولی از دست طراحان در رفته است!!!

جالب است بدانید که واژه Prova در زبان ایتالیایی به معنای آزمایش هست.

نسخه مذکور فقط فایل های موجود در پوشه /Desktop/test را رمزگزاری میکند و هیچ تلاشی برای مخفی کردن پیام های قابل ارائه به مخاطب که داخل نرم افزار گنجانیده شده اند ، نمی کند.

اگر شما اقدام به اجرای نسخه ی  کرک شده این باج افزار بکنید ، با یک پیغام مواجه می شوید که شفاف سازی میکند که قرار نیست این برنامه کار خیری انجام دهد.

و اگر روی عبارت Start کلیک کنید. در پس زمینه فرآیندی شروع می شود و پیغامی نمایش می دهد که ادعا میکند همه چیز طبق روال دارد پیش می رود ، حتی بعد از اینکه فایل های روی دسکتاپ مک هم رمزگزاری شده باشند.

در حقیقت ، این بدافزار تمامی فایل های قابل دسترس در آدرس /Users را با استفاده از برنامه find سیستم عامل پیدا میکند و با استفاده از برنامه zip آن ها را رمزگزاری میکند و سپس با استفاده از دستور rm آن ها را پاک میکند.

سه عبارت اخیر نام چند Command یا دستور معروف پیش فرض سیستم عامل Mac بود و جالب است بدانید که دستور rm فایل ها را بدون واسطه ی “زباله دان” پاک می کند.!؟

یکی از خطرات اصلی این بدافزار این است که نیازی به هیچ دسترسی خاصی ندارد.

در ضمن ، رمز استفاده شده برای رمزگزاری فایل های ZIP یک کد 25 کارکتری هست که تصادفی ساخته شده است. با توجه به اینکه به هر کامپیوتر آلوده شده ، یک رمز متفاوت (تصادفی) برای رمزگزاری فایل ها تعلق می گیرد ، در هر بار اجرای بدافزار تمامی فایل های رمزگزاری شده با یک رمز یکسان رمز می شوند.سپس بدافزار یک سری فایل های متنی به جا می گذارد که به شما پیشنهاد پرداخت 0.25 واحد بیت کوین که الان معادل 300 دلار است را می دهد. به علاوه ی ادرس بیت کوینی برای واریز و یک ایمیل موقت برای ارتباط .!

سپس از شما خواسته می شود که کامپیوتر را به اینترنت متصل نگه دارید تا کلاهبردار ، به صورت ریموت به کامپیوتر وصل شود و فایل ها را رمزگشایی کند. حداکثر تا 24 ساعت پس از پرداخت! چنانچه مبلغ ویژه 0.45 واحد بیت کوین که معادل 530 دلار در حال حاضر است را واریز کنید ، وعده بازگشایی فایل ها تا نهایتا 10 دقیقه پس از پرداخت را به شما داده است.

اما راه حل؟

استفاده از ابزار PKCRACK :

این ابزار با استفاده از یک الگوریتم بسیار هوشمندانه ، الگوریتم ضعیف برنامه نویس بدافزار را در حدود 42 ثانیه شکست می دهد. !!! !!! !!!

دوست ندارم وارد جزئیات نحوه کار این ابزار بازگشایی بشوم و سر شما را به درد آورم و بگویم که چرا اینقدر راحت میتواند این کار را بکند. !

ولی دلیل اصلی این است که الگوریتم بدافزار بسیار ضعیف است و الگوریتم ابزار بازگشایی خیلی هوشمندانه طراحی شده است. !!! !!! !!! (دم طراحش گرم!)

به شما خواننده گرامی پیشنهاد می شود حتما مقاله بعدی در این باب را مطالع بفرمایید.

امنیت مجازی را جدی بگیرید. بدرود.

 

 

 

درباره نویسنده

امیررضا هاشمیه

پاسخ دهید