به گزارش حوزه دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان؛ به تازگی و طبق بررسی های صورت گرفته محققان توانسته اند بدافزاری جدیدی با نام GIBON را کشف کنند. GIBON به وسیله ایمیل های آلوده محتوای آلوده خود را منتقل می کند و در ادامه به باج گیری از کاربران می پردازد. متاسفانه، اطلاعات بیشتر در مورد ایمیل‌های آلوده در حال حاضر در دسترس نیست. با این حال، به لطف مایکل گیلسپی اطلاعاتی در مورد نحوه عملکرد این باج‌افزار که قابل رمزگشایی نیز می‌باشد ارائه شده‌ است.

علت نامگذاری بدافزار GIBON
همواره انتخاب نام خوب برای یک باج‌افزار جدید کار آسانی نیست. گاهی اوقات پژوهشگران از گزینه‌های موجود در فایل‌های اجرایی باج افزار جهت نامگذاری استفاده می‌کنند و بعضاً نیز خود بدافزار سرنخ‌هایی می‌دهد تا با آن عناوین نامیده‌شود.
نام باج‌افزار GIBON دو موقعیت را به ما نشان می‌دهد. اولاً اینکه سیستم‌عامل كاربر هنگامی که با سرور كنترل و فرمان ارتباط برقرار می‌کند از GIBON استفاده خواهدکرد.

(برقراری ارتباط با سرور C2)

موقعیت دوم بیانگر این است که نام آن در پنل مدیریت، مربوط به خود باج‌افزار می‌باشد که در سایت زیر به طور واضح به عنوان "رمزگذاری دستگاه GIBON" نشان داده‌شده‌است.

(پنل مدیریت GIBON)

رمزگذاری یک کامپیوتر به وسیله باج‌افزار GIBON
با توجه به اینکه جزئیات کاملی در مورد تحویل این باج افزار در دسترس نیست، اما می‌توان اطلاعاتی در مورد چگونگی رمزگذاری رایانه‌ها توسط باج‌افزار GIBON ارائه داد. هنگامی که GIBON برای اولین بار شروع به کار می‌کند، کاربر را به سرور Command & Control باج‌افزار متصل می‌کند و یک قربانی جدیدرا با ارسال یک رشته‌کد رمزگذاری‌شده base64 که شامل برچسب زمان، نسخه ویندوز و رشته "register" است، ثبت می‌کند. حضور رشته"register" که همان C2 نامیده می‌شود، یک قربانی جدید است که برای اولین بار آلوده شده‌است.

C2 پاسخی که حاوی یک رشته کدگذاری base64 است، ارسال می‌کند که توسط GIBON به عنوان یادداشتی برای باجگیری استفاده می‌شود. باید توجه داشته‌باشید که با داشتن سرور ذخیره‌سازی C2، یک نسخه اجرایی کدگذاری شده قوی وجود خواهدداشت و توسعه‌دهنده می‌تواند یک فایل اجرایی جدید را بدون نیاز به کامپایل به‌روزرسانی کند.

( پاسخ با توجه به نوع باجگیری)

هنگامی که یک قربانی به وسیله C2 ثبت می‌شود، به صورت دستی برای آن یک کلید رمزنگاری تولید می‌شود و آن را به عنوان رشته کدگذاری شده base64 به سرور C2 ارسال می‌کند. همانند درخواست قبلی،C2 با متنی حاوی محتوای باجگیرانه پاسخ می‌دهد.
حالا که قربانی ثبت شد و کلید به C2 منتقل یافت، باج افزار شروع به رمزگذاری کامپیوتر خواهد کرد. در حالی که با رمزنگاری کامپیوتر، همه فایل‌های موجود در سیستم بدون در نظر گرفتن پسوند تا زمانی که در پوشه ویندوز نباشند، مورد هدف قرار خواهند گرفت.

هنگام رمزگذاری فایل‌ها، بدافزار GIBON پسوند ".encrypt" را به نام فایل رمزگذاری‌شده اضافه‌می‌کند. برای مثال، یک فایلی که با نام test.jpg رمزگذاری شده، به عنوان test.jpg.encrypt نامگذاری می‌شود. در تصویر زیر پوشه‌ای از فایل‌های رمزگذاری‌شده را می‌توان مشاهده‌کرد.

(فایل های رمزگذاری شده)

GIBON در طول فرایند رمزگذاری به طور مرتب به سرور C2 متصل می‌شود و به آن "PING" ارسال می‌کند و این حاکی از آن است که بدافزار همواره در حال رمزگذاری کامپیوتر می‌باشد.

برای هر پوشه‌ای که برای آن یک فایل رمزگذاری ایجاد می‌شود، یک یادداشت با محتوای باجگیری به نام READ_ME_NOW.txt تولید می‌شود. این یادداشت اشاره‌شده، اطلاعاتی را در مورد مواردی که به فایلها و دستورالعمل‌های قربانیان داده‌شده‌است، از طریق ایمیل‌های bomboms123@mail.ru یا yourfood20@mail.ru جهت دستورالعمل‌های پرداخت ارائه می‌دهد.

( یادداشت باجگیرانه)

هنگامی که باج‌افزار، رمزگذاری یک رایانه را به پایان رساند، پیام نهایی را به سرور C2 با رشته "finish"، برچسب زمانی، نسخه ویندوز و مقدار فایل‌هایی که رمزگذاری شده‌اند، ارسال می‌کند. در حال حاضر مشخص نیست که چه میزان از باج‌افزار خواستار توسعه دادن سیستم‌ها می‌باشد. همانطور که قبلا گفته شد، خبر خوب این است که این باج‌افزار می تواند با استفاده از decryptor رمزگشایی شود.

چطور از خود در برابر باج‌افزار GIBON محافظت کنیم
برای محافظت از خود در برابر GIBON و یا هر باج‌افزار دیگر، بهتر است که از فعالیت‌های محاسباتی و نرم‌افزارهای امنیتی مناسب استفاده شود. اولین و مهمترین اصل این است که همواره بایستی یک پشتیبان قابل اعتماد و آزمایش‌شده از داده‌ها داشت تا بتوان در موارد اضطراری مانند حمله‌ی باج‌افزارها بازگردانده شود. همچنین سیستم‌ها می‌بایست دارای نرم افزارهای امنیتی باشند که شامل تشخیص‌ رفتاری مانندEmsisoft Anti-Malware ، Malwarebytes یا HitmanPro: Alert می‌باشند.

در پایان می‌توان گفت که برای اطمینان بیشتر در این زمینه باید امنیت آنلاین مناسبی را دنبال کرد، که در ذیل به چند نکته مهم اشاره شده‌است:
- پشتیبان گیری، پشتیبان گیری، پشتیبان گیری!
- فایل‌های ضمیمه‌ای که مشخص نیست از سوی چه کسی ارسال شده را هرگز باز نکنید.
- تا زمانیکه تأیید نشده واقعا فایل‌های ضمیمه را چه کسی فرستاده است، از باز کردن آنها خودداری نمائید.
- با ابزارهایی مانند VirusTotal فایل‌های پیوستی را اسکن کنید.
- اطمینان حاصل کنید که همه به روز رسانی‌های ویندوز در اسرع وقت نصب می‌شوند! همچنین مطمئن شوید که تمام برنامه‌ها، به ویژه جاوا، فلش و Adobe Reader را به روز رسانی کرده‌اید و برنامه‌های قدیمی‌تر نیزاز امنیت لازم برخوردار هستند.
- اطمینان حاصل کنید که از نوع خاصی از نرم افزار امنیتی استفاده می‌کنید.
- از رمزهای عبور سخت استفاده کنید و از رمزعبور مشابه در سایت‌های مختلف استفاده نکنید.

انتهای پیام/

انتشار بد افزار جدید GIBON توسط ایمیل های آلوده