یکی از خطرات سایبری بسیار مخرب چند سال گذشته که باید از ان ترسید, بدافزارهای باجگیری میباشند. فقط مجسم کنید که چه میشود اگر این بدافزارها سرورهای وب لینوکس را همانطور که اخیرا کشف شده هدف خوذ قرار دهند.
همانطور که میدانید بدافزارهای باجگیری, اسناد کاربری که دستگاهش الوده شده را رمزنگاری کرده و در قبال ازادی انها یعنی دادن کلید برای برداشتن رمز, مطالبه باجی معمولا با بیت کوئین مینمایند.
تا امروز مجرمین سایبری فقط ویندوز و مک و اندروید را هدف اینگونه حملات خود قرار میدادند اما کشف یک شرکت امنیتی روسی بسیار نگران کننده است. شرکت امنیتی Dr.Web, ملویری که “Linux.Encoder.1” نامیده شده و سرورهای وب لینوکس را هدف خود قرار میدهد را کشف کرده است. باینری مخرب در حال حاضر روی ویروس توتال درصد شناسائی کمی دارد.
در عمل این ملویر جدید با بهره از اسیب پذیریهای سایتهای وب تززریق شده و بعد از نصب روی ماشین هدف, تمام فایلهائی را که در دایرکتوری “home” سیستم هستند را رمزگذاری میکند. باید گفت که این انتخاب یک خلاقیت و شاید نبوع است چون این دایرکتوری معمولا عناصر مربوط به سایتهای میزبانی شده روی سرور را دارد (به غیر از انهائی که از دایرکتوری “var” استفاده میکنند).
باری دیگر مشاهده میکنیم که بدافزارهای باجگیری مشکلی بزرگ که گران تمام شده و بسیار اختلال ایجاد میکنند هستند و متاسفانه هر روز نیز افزایش میابند.
در ماه ژوئن, اف بی ای اعلام کرده بود که 992 شکایت از CryptoWall در سال 2014 که در مجموع باعث 18 میلیون دلار خسارت گشته بود دریافت کرده است. اما این فقط قسمتی از این حملات است چون درصد عظیمی هرگز به مقامات اعلام نمیشود.
در ابتدای ماه نوامبر سال 2015, سرور یک حرفه ای وب امریکائی با این برنامه مخرب جدید یا بدافزار باجگیری لینوکس الوده شده بود. این شرکت Daniel Macadar, سازنده سایتهای اینترنتی است. وی سپس پیامی که در ان یک بیت کوئین معادل 420 دلار بود را دریافت کرد.
وی میگوید : “برای دریافت کلید خصوصی و اسکریپت پی اچ پی و برداشتن رمز داده های این ماشین بطور خودکار, باید شما یک بیت کوئین پرداخت کنید در غیر اینصورت هرگز نخواهید توانست فایلهایتان را مجددا مالک شوید.”
Macadar اعلام کرده که این ملویر یک سرور وب توسعه را که شامل پروژه های در جریان بسیاری بود که خیلی در انها پیشرفت شده بود را الوده کرده و وی برای سیو این سرور تاخیر داشته است و مسلما این حمله همه سایتهائی که روی ان میزبانی میشده اند را تخریب کرده است. در نتیجه وی چاره ای جز پرداخت باج مطالبه شده نداشته است. اما مدتی وقت صرف کرده تا بتواند اینکه چگونه حسابی باز کند تا این باج را با بیت کوئین پرداخت نماید را درک کند و میگوید : “من در حال حاضر بیت کوئینی ندارم و هرگز هم خیال نداشتم در زندگی خود کاری را با بیت کوئین انجام دهم.”
وی میگوید تمام دستورات توضیح داده شده را مو به مو انجام داده و چند ساعت بعد سرورش ازاد و رمز نگاری ان برداشته شده است اما انگونه که قول داده شده بوده عملکردی نبوده است.
وی ادامه میدهد : “اسکریپتی مخصوص برداشتن رمز هست که مثلا باید تمام داده ها را بصورت اولیه بازگرداند اما تعداد زیادی از فایلها با افزودن کاما و یا اسپیس اضافی خراب شده بودند.”
او از Thomas Raef, که خدمات امنیتی WeWatchYourWebsite را انجام میدهد برای ایمن ساختن سرور خود یاری خواسته تا بداند چگونه این مجرمین عمل کرده اند. محقق امنیت WeWatchYourWebsite متوجه شده که مشتری او با استفاده از یک اسیب پذیری اصلاح نشده در Magento که یک نرم افزار تجارت الکترونیک است و بسیاری برای فروشهای انلاین استفاده میکنند الوده گشته است.
CheckPoint جزئیات این اسیب پذیری را در اوریل 2015 توضیح داده بود و Magento نیز اصلاحیه ای برای ان منتشر کرده اما بسیاری از سایتهای تجارت الکترونیک برای نصب اسیب پذیریهای حاد تاخیر میکنند.
این ملویر جدید Linux Encoder جدیدترین ابداع در زمینه بدافزارهای باجگیری است.
بیت دفندر میگوید که اخرین نسخه CryptoWall یعنی نسخه 4.0 پیامی بهتر برای مطالبه باج نمایش داده و توضیح میدهد که حتی نام فایلهای داده ها با اعداد و حروف رمز گذاری شده اند. اما خوشبختانه بیت دفندر با بررسی ان یک اسیب پذیری در ان یافته که توسط ان میتوان بعد از حمله ای و رمزنگاری داده رمز انها را برداشت.
باید دانست که مجرمینی که در پس اینگونه برنامه های مخرب هستند مبلغ باج های نقدی را بسیار افزایش میدهند و بدینگونه برای یک بدافزار باجگیری که ویندوز را هدف میگیرد مشاهده میکنیم که مبلغ باج تا 2.5 بیت کوئین که در حاضر معادل هزار دلار است افزایش یافته است. بعلاوه این مجرمین از دست پاچگی قربانیان خود استفاده کرده و حتی از اینکه انها را با گفتن انتشار فایلهای انان روی نت تهدید کنند ابائی ندارند.
علاوه بر قوانین امنیتی سنتی چون بروز رسانی سیستم و تمام نرم افزارهای نصب شده روی ان و انتی ویروسی بروز و فعال و محتاط بودن روی نت و غیره باید بخصوص به ذخیره مرتب سیستم خود و کامپیوتر یا دستگاه موبایل و یا سرور اندیشیده و انها روی ساپورتی مطمئن که به اینترنت و به دستگاه متصل نیست نگاهداری نمود. در بعضی موارد میتوان از کلود نیز استفاده نمود.
همچنین باید یاداور شد که نباید از دستگاه بعنوان ادمینیستراتور استفاده نمود چون به هنگام حمله, ملویر حداکثر اجازه برای الوده کردن را خواهد داشت خواه یک سرور وب و خواه یک کامپیوتر با سیستم ویندوز و خواه هر دستگاه اندرویدی و یا با سیستم ای اوس باشد.
منبع : ترفندستان