AntiHacker Ransomware

محافظت از داده‌های شخصی و تجاری در برابر تهدیدات بدافزارهای مدرن دیگر اختیاری نیست، بلکه یک ضرورت عملیاتی است. اپراتورهای باج‌افزار همچنان تاکتیک‌ها، ابزارها و طرح‌های مهندسی اجتماعی خود را برای به حداکثر رساندن اختلال و اخاذی اصلاح می‌کنند. حتی سازمان‌های کوچک‌تر و کاربران خانگی نیز مرتباً هدف قرار می‌گیرند و بازیابی اطلاعات بدون آمادگی می‌تواند دشوار یا غیرممکن باشد. باج‌افزار AntiHacker، عضوی از خانواده Xorist، دقیقاً چنین تهدیدی است.

بررسی اجمالی تهدید و تبارشناسی

AntiHacker یک برنامه مخرب است که توسط محققان امنیت اطلاعات کشف شده و در خانواده باج‌افزار Xorist طبقه‌بندی می‌شود. تهدیدات مبتنی بر Xorist معمولاً از یک چارچوب کیت ساخته می‌شوند که مهاجمان می‌توانند آن را سفارشی کنند و پیام باج نمایش داده شده، پسوند فایل، عناصر زبان و سایر پارامترها را تغییر دهند. AntiHacker از دستورالعمل آشنای Xorist پیروی می‌کند: داده‌های قربانی را رمزگذاری می‌کند و سپس در ازای کلید رمزگشایی ادعایی، درخواست پرداخت وجه می‌کند.

رفتار و علامت‌گذاری رمزگذاری فایل

وقتی AntiHacker سیستمی را آلوده می‌کند، به دنبال داده‌های قابل دسترس کاربر در درایوهای محلی و همچنین مکان‌های شبکه‌ای که احتمالاً نقشه‌برداری شده‌اند، می‌گردد. طیف گسترده‌ای از انواع فایل‌ها، اسناد، تصاویر، بایگانی‌ها، فایل‌های چندرسانه‌ای و سایر ذخایر داده ارزشمند، هدف قرار می‌گیرند. هر مورد رمزگذاری شده با افزودن رشته '.antihacker2017' به انتهای نام فایل اصلی تغییر نام می‌یابد. به عنوان مثال، فایلی که در ابتدا '1.png' نام داشت، به '1.png.antihacker2017' تبدیل می‌شود؛ '2.pdf' به '2.pdf.antihacker2017' تبدیل می‌شود؛ و این الگو در تمام فایل‌های پردازش شده تکرار می‌شود. پسوند اضافه شده دو هدف را دنبال می‌کند: به صورت بصری به قربانی اطلاع می‌دهد که در معرض خطر قرار گرفته است و به باج‌افزار کمک می‌کند تا مواردی را که قبلاً مدیریت کرده است، شناسایی کند.

یادداشت‌های باج‌خواهی، پنجره‌های بازشو و پیام‌های تصویر زمینه

پس از تکمیل روال رمزگذاری، AntiHacker تصویر زمینه دسکتاپ قربانی را تغییر می‌دهد و یک یادداشت باج‌خواهی را در دو قالب موازی قرار می‌دهد: یک پنجره پاپ‌آپ و یک فایل متنی با نام 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (به روسی به معنای «چگونه فایل‌ها را رمزگشایی کنیم»). محتوای پیام ارائه شده در پاپ‌آپ و فایل متنی یکسان است. با این حال، نوع تصویر زمینه شامل زبان مهندسی اجتماعی اضافی است، توجیهی فرضی مبنی بر اینکه حمله به دلیل بازدید کاربر از وب‌سایت‌های خاص بزرگسالانه یا غیرقانونی رخ داده است. این زاویه شرم‌آور برای تحت فشار قرار دادن قربانیان برای پرداخت سریع و بی‌سروصدا طراحی شده است.

تغییر عجیب در رمزگذاری کاراکترها

در سیستم‌هایی که از مجموعه کاراکترهای سیریلیک استفاده نمی‌کنند، متن باج‌خواهی که در پنجره بازشو نمایش داده می‌شود، می‌تواند به صورت نامفهوم و نامفهوم به نظر برسد. بنابراین، قربانیان ممکن است یک پنجره پیام خراب را ببینند، اما همچنان دستورالعمل‌های قابل خواندن را در داخل فایل متنی رها شده پیدا کنند. مهاجمان اغلب جزئیات محلی‌سازی را نادیده می‌گیرند؛ مدافعان می‌توانند از چنین مصنوعاتی برای کمک به خوشه‌بندی حوادث مرتبط استفاده کنند.

سازوکارهای اجبار: محدودیت‌های ورود کلیدی و ادعاهای تهدید

دستورالعمل‌های باج‌افزار بیان می‌کنند که قربانیان باید برای دریافت کلید رمزگشایی با مهاجمان تماس بگیرند. آن‌ها همچنین محدودیت استرس‌زایی را اعمال می‌کنند: فقط ۵۰ بار تلاش برای وارد کردن کلید مجاز است و پس از آن پیام ادعا می‌کند که داده‌های رمزگذاری شده برای همیشه از بین خواهند رفت. هشدارهای اضافی ادعا می‌کنند که استفاده از ابزارهای امنیتی، راه‌اندازی مجدد یا خاموش کردن دستگاه، فایل‌ها را غیرقابل رمزگشایی می‌کند. این تاکتیک‌های ترس‌آور در دستورالعمل‌های باج‌افزار رایج هستند و هدف آن‌ها منصرف کردن کاربران از درخواست کمک حرفه‌ای یا تلاش برای انجام روش‌های ایمن برای رفع مشکل است.

چرا پرداخت باج خطرناک است؟

هیچ تضمینی وجود ندارد که مجرمان سایبری پشت AntiHacker (یا هر باج‌افزاری) پس از پرداخت، یک راه‌حل رمزگشایی کارآمد ارائه دهند. قربانیانی که پرداخت می‌کنند اغلب چیزی دریافت نمی‌کنند، یک کلید شکسته دریافت می‌کنند یا هدف اخاذی‌های مکرر قرار می‌گیرند. پرداخت همچنین عملیات مجرمانه مداوم را تأمین مالی می‌کند و حملات بیشتر را تشویق می‌کند. موضع محتاطانه این است که تا حد امکان از پرداخت خودداری کنید و روی مسیرهای بازیابی تحت کنترل خود تمرکز کنید.

واقعیت‌های بهبودی

حذف AntiHacker از یک سیستم آلوده می‌تواند رمزگذاری بیشتر فایل‌ها را متوقف کند، اما داده‌هایی را که قبلاً قفل شده‌اند، رمزگشایی نمی‌کند. مطمئن‌ترین مسیر برای بازیابی، بازیابی کپی‌های سالم از فایل‌های آسیب‌دیده از پشتیبان‌هایی است که ایزوله، آفلاین یا به هر نحوی دور از دسترس بدافزار بوده‌اند. اگر هیچ پشتیبان قابل اعتمادی وجود نداشته باشد، گزینه‌های بازیابی داده‌ها بسیار محدود می‌شوند.

ناقل‌های عفونت اولیه

نویسندگان باج‌افزار به همان اکوسیستم توزیع گسترده‌ای متکی هستند که سایر دسته‌های بدافزار را تغذیه می‌کند. AntiHacker نیز از این قاعده مستثنی نیست. مهاجمان اغلب بارهای داده را به عنوان نرم‌افزارهای قانونی پنهان می‌کنند یا آنها را با برنامه‌ها، اسناد یا نصب‌کننده‌های کرک‌شده یا غیرقانونی همراه می‌کنند. صرفاً باز کردن یک فایل تله‌گذاری شده می‌تواند باعث ایجاد یک زنجیره دانلود یا اجرا شود.

• فریب‌های فیشینگ و مهندسی اجتماعی که از طریق ایمیل، پیام‌های خصوصی یا پیام‌های مستقیم با پیوست‌های مخرب یا لینک‌های جاسازی‌شده ارسال می‌شوند.
• دانلودهای ناخواسته یا فریبکارانه که از وب‌سایت‌های آلوده یا مخرب و بدون رضایت صریح کاربر آغاز می‌شوند.
• تروجان‌های بارگذار و درب‌های پشتی که بی‌سروصدا باج‌افزار را پس از جاسازی بازیابی و اجرا می‌کنند.
• منابع دانلود غیرقابل اعتماد مانند سایت‌های نرم‌افزار رایگان، صفحات میزبانی شخص ثالث و شبکه‌های اشتراک فایل نظیر به نظیر (P2P).
• کلاهبرداری‌های آنلاین و کمپین‌های تبلیغاتی مخرب که کاربران را به سمت کیت‌های بهره‌برداری یا بدافزارهای مخرب هدایت می‌کنند.
• ابزارهای فعال‌سازی نرم‌افزار غیرقانونی (کرک‌ها / کیجن‌ها) و به‌روزرسانی‌های جعلی نرم‌افزار که به جای وصله‌های قانونی، بدافزار نصب می‌کنند.
• فایل‌های آرشیو (ZIP، RAR و غیره)، فایل‌های اجرایی (EXE، RUN و غیره)، فایل‌های اسکریپت (مثلاً جاوا اسکریپت) و فرمت‌های سند (PDF، مایکروسافت آفیس، وان‌نوت و سایر موارد) برای راه‌اندازی زنجیره آلودگی مورد استفاده قرار گرفتند.

مرور کلی استراتژی دفاعی

دفاع مؤثر در برابر باج‌افزار، افراد، فرآیندها و فناوری را لایه‌بندی می‌کند. شما نمی‌توانید به یک کنترل حفاظتی واحد تکیه کنید؛ فرض کنید حداقل یک لایه از کار خواهد افتاد. آگاهی کاربر، پیکربندی‌های مقاوم، وصله‌گذاری دقیق، شیوه‌های پشتیبان‌گیری قوی و قابلیت‌های تشخیص/پاسخ قوی را ترکیب کنید تا احتمال و تأثیر نفوذ به سبک AntiHacker را کاهش دهید.

• از داده‌های مهم نسخه پشتیبان تهیه کنید.
• سیستم‌عامل‌ها، برنامه‌ها و ابزارهای امنیتی را به‌طور کامل به‌روزرسانی کنید؛ وصله‌های امنیتی را به‌سرعت اعمال کنید، به‌ویژه برای دسترسی از راه دور و سرویس‌های اشتراک‌گذاری فایل.
• از راهکارهای معتبر ضد بدافزار/ تشخیص و پاسخ‌دهی به نقاط پایانی (EDR) با قابلیت تشخیص رفتاری باج‌افزار و در صورت پشتیبانی، قابلیت بازگشت خودکار به حالت قبل استفاده کنید.
• اعمال حداقل حقوق دسترسی برای کاربران؛ انجام وظایف روزانه تحت حساب‌های کاربری غیر ادمین و محدود کردن دسترسی نوشتن به مخازن داده مشترک.
• شبکه‌ها را بخش‌بندی کرده و حرکت جانبی را محدود کنید؛ مخازن پشتیبان و سرورهای حیاتی را در سطوح دسترسی جداگانه ایزوله کنید.
• برای ورود به سیستم از راه دور، اقدامات دارای امتیاز بالا و کنسول‌های مدیریت پشتیبان‌گیری، احراز هویت چند عاملی (MFA) الزامی است.

نتیجه‌گیری

باج‌افزار AntiHacker نشان می‌دهد که چگونه عاملان تهدید، خانواده‌های مبتنی بر کیت مانند Xorist را برای ایجاد طرح‌های اخاذی قوی و هدفمند منطقه‌ای تطبیق می‌دهند. رمزگذاری داده‌ها، برچسب‌گذاری نام فایل، مصنوعات یادداشت باج چندزبانه و پیام‌های اجباری آن، همگی برای هدایت پرداخت طراحی شده‌اند. با این حال، قوی‌ترین اقدام متقابل، آمادگی است: پشتیبان‌گیری‌های جداگانه، دفاع‌های لایه‌ای، کاربران آگاه و یک برنامه واکنش منظم. سازمان‌ها و افرادی که در این اقدامات حفاظتی سرمایه‌گذاری می‌کنند، می‌توانند یک رویداد باج‌افزار بالقوه فاجعه‌بار را به یک حادثه قابل بازیابی تبدیل کنند.