نحوه فعالیت باج‌افزار GIBON و راه‌های محافظت از خود در برابر آن

انتشار بد‌افزار GIBON توسط ایمیل‌های آلوده

اخیراً محققان بدافزار جدیدی به نام GIBON کشف نمودند. در حال حاضر این بدافزار با استفاده از ایمیل آلوده، یک محتوای مخرب حاوی ماکروها را برای قربانی ارسال می‌کند و سپس باج افزار بر روی رایانه کاربران دانلود و نصب می‌شود. متاسفانه، اطلاعات بیشتر در مورد ایمیل‌های آلوده در حال حاضر در دسترس نیست.
اخیراً محققان بدافزار جدیدی به نام GIBON کشف نمودند. در حال حاضر این بدافزار با استفاده از ایمیل آلوده، یک محتوای مخرب حاوی ماکروها را برای قربانی ارسال می‌کند و سپس باج‌افزار بر روی رایانه کاربران دانلود و نصب می‌شود. متاسفانه، اطلاعات بیشتر در مورد ایمیل‌های آلوده در حال حاضر در دسترس نیست. با این حال، به لطف مایکل گیلسپی اطلاعاتی در مورد نحوه عملکرد این باج‌افزار که قابل رمزگشایی  نیز می‌باشد ارائه شده‌است.

علت نامگذاری بدافزار GIBON
همواره انتخاب نام خوب برای یک باج‌افزار جدید کار آسانی نیست. گاهی اوقات پژوهشگران از گزینه‌های موجود در فایل‌های اجرایی باج افزار جهت نامگذاری استفاده می‌کنند و بعضاً نیز خود بدافزار سرنخ‌هایی می‌دهد تا با آن عناوین نامیده‌شود.
نام باج‌افزار GIBON دو موقعیت را به ما نشان می‌دهد. اولاً اینکه سیستم‌عامل كاربر هنگامی که با سرور كنترل و فرمان ارتباط برقرار می‌کند از GIBON استفاده خواهدکرد.
 
 (برقراری ارتباط با سرور C2)

موقعیت دوم بیانگر این است که نام آن در پنل مدیریت، مربوط به خود باج‌افزار می‌باشد که در سایت زیر به طور واضح به عنوان "رمزگذاری دستگاه GIBON" نشان داده‌شده‌است.
 
(پنل مدیریت GIBON)

رمزگذاری یک کامپیوتر به وسیله باج‌افزار GIBON
با توجه به اینکه جزئیات کاملی در مورد تحویل این باج افزار در دسترس نیست، اما می‌توان اطلاعاتی در مورد چگونگی رمزگذاری رایانه‌ها توسط باج‌افزار GIBON ارائه داد. هنگامی که GIBON برای اولین بار شروع به کار می‌کند، کاربر را به سرور Command & Control باج‌افزار متصل می‌کند و یک قربانی جدیدرا با ارسال یک رشته‌کد رمزگذاری‌شده base64 که شامل برچسب زمان، نسخه ویندوز و رشته "register" است، ثبت می‌کند. حضور رشته"register" که همان C2 نامیده می‌شود، یک قربانی جدید است که برای اولین بار آلوده شده‌است.

C2 پاسخی که حاوی یک رشته کدگذاری base64 است، ارسال می‌کند که توسط GIBON به عنوان یادداشتی برای باجگیری استفاده می‌شود. باید توجه داشته‌باشید که با داشتن سرور ذخیره‌سازی C2، یک نسخه اجرایی کدگذاری شده  قوی وجود خواهدداشت و توسعه‌دهنده می‌تواند یک فایل اجرایی جدید را بدون نیاز به کامپایل به‌روزرسانی کند.
 
( پاسخ با توجه به نوع باجگیری)

هنگامی که یک قربانی به وسیله C2 ثبت می‌شود، به صورت دستی برای آن یک کلید رمزنگاری تولید می‌شود و آن را به عنوان رشته کدگذاری شده base64 به سرور C2 ارسال می‌کند. همانند درخواست قبلی،C2  با متنی حاوی محتوای باجگیرانه پاسخ می‌دهد.
حالا که قربانی ثبت شد و کلید به C2 منتقل یافت، باج افزار شروع  به رمزگذاری کامپیوتر خواهد کرد. در حالی که با رمزنگاری کامپیوتر، همه فایل‌های موجود در سیستم بدون در نظر گرفتن پسوند تا زمانی که در پوشه ویندوز نباشند، مورد هدف قرار خواهند گرفت.

هنگام رمزگذاری فایل‌ها، بدافزار GIBON پسوند ".encrypt" را به نام فایل رمزگذاری‌شده اضافه‌می‌کند. برای مثال، یک فایلی که با نام test.jpg رمزگذاری شده، به عنوان test.jpg.encrypt نامگذاری می‌شود. در تصویر زیر پوشه‌ای از فایل‌های رمزگذاری‌شده  را می‌توان مشاهده‌کرد.
 
(فایل های رمزگذاری شده)

GIBON در طول فرایند رمزگذاری به طور مرتب به سرور C2 متصل می‌شود و به آن "PING" ارسال می‌کند و این حاکی از آن است که بدافزار همواره در حال رمزگذاری کامپیوتر می‌باشد.

برای هر پوشه‌ای که برای آن یک فایل رمزگذاری ایجاد می‌شود، یک یادداشت با محتوای باجگیری به نام  READ_ME_NOW.txt  تولید می‌شود. این یادداشت اشاره‌شده، اطلاعاتی را در مورد مواردی که به فایلها و دستورالعمل‌های قربانیان داده‌شده‌است، از طریق ایمیل‌های bomboms123@mail.ru  یا yourfood20@mail.ru جهت دستورالعمل‌های پرداخت ارائه می‌دهد.
 
( یادداشت باجگیرانه)

هنگامی که باج‌افزار، رمزگذاری یک رایانه را به پایان رساند، پیام نهایی را به سرور C2  با رشته "finish"، برچسب زمانی، نسخه ویندوز و مقدار فایل‌هایی که رمزگذاری شده‌اند، ارسال می‌کند. در حال حاضر مشخص نیست که چه میزان از باج‌افزار خواستار توسعه دادن سیستم‌ها می‌باشد. همانطور که قبلا گفته شد، خبر خوب این است که این باج‌افزار می تواند با استفاده از decryptor رمزگشایی شود.

چطور از خود در برابر باج‌افزار GIBON محافظت کنیم
برای محافظت از خود در برابر GIBON و یا هر باج‌افزار دیگر، بهتر است که از فعالیت‌های محاسباتی و نرم‌افزارهای امنیتی مناسب استفاده شود. اولین و مهمترین اصل این است که همواره  بایستی یک پشتیبان قابل اعتماد و آزمایش‌شده از داده‌ها داشت تا بتوان در موارد اضطراری مانند حمله‌ی  باج‌افزارها بازگردانده شود. همچنین سیستم‌ها می‌بایست دارای نرم افزارهای امنیتی باشند که شامل تشخیص‌ رفتاری مانندEmsisoft Anti-Malware ، Malwarebytes یا HitmanPro: Alert می‌باشند.

در پایان می‌توان گفت که برای اطمینان بیشتر در این زمینه باید امنیت آنلاین مناسبی را دنبال کرد، که در ذیل به چند نکته مهم اشاره شده‌است:
- پشتیبان گیری، پشتیبان گیری، پشتیبان گیری!
- فایل‌های ضمیمه‌ای که مشخص نیست از سوی چه کسی ارسال شده را هرگز باز نکنید.
- تا زمانیکه تأیید نشده واقعا فایل‌های ضمیمه را چه کسی فرستاده است، از باز کردن آنها خودداری نمائید.
- با ابزارهایی مانند VirusTotal فایل‌های پیوستی را اسکن کنید.
- اطمینان حاصل کنید که همه به روز رسانی‌های  ویندوز در اسرع وقت نصب می‌شوند! همچنین مطمئن شوید که تمام برنامه‌ها، به ویژه جاوا، فلش و Adobe Reader را به روز رسانی کرده‌اید و برنامه‌های قدیمی‌تر نیزاز امنیت لازم برخوردار هستند.
- اطمینان حاصل کنید که از نوع خاصی از نرم افزار امنیتی استفاده می‌کنید.
- از رمزهای عبور سخت استفاده کنید و از رمزعبور مشابه در سایت‌های مختلف استفاده نکنید.

ترجمه : وحید فرجی ملکشاه
 

نظرات کاربران (کامنتها)

ارسال نظر جدید

محتواي اين فيلد خصوصي نگهداشته شده و قابل مشاهده توسط عموم نخواهد بود.
  • آدرس‌های وب و آدرس‌های ایمیل به صورت خودکار به لینک تبدیل می‌شوند.
  • خطوط و پاراگراف‌ها به صورت خودکار شکسته می‌شوند.
  • Allowed HTML tags: <a> <span> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <thead> <table> <tr> <td> <tbody> <th> <img> <a> <div> <map> <br>

اطلاعات بیشتر درباره فرمت های ورود اطلاعات

پرسش امنیتی
این پرسش به منظور تامین امنیت بیشتر در برنامه و شناسایی شما به عنوان یک کاربر انسانی ارائه شده است تا از پر شدن اتوماتیک فرم توسط روبات ها و اسپمرها جلوگیری به عمل آید.
4 + 5 =
این سوال ساده ریاضی را حل کنید و نتیجه را در محل مربوطه وارد نمایید. به طور مثال: عدد (1) + عدد (3): پاسخ عدد (4) خواهد بود و شما باید عدد (4) را در محل مناسب وارد کنید.