مقدمه

باج‌ افزار همچنان یک تهدید امنیتی فزاینده است و هر هفته شاخه ‌های جدیدی از آن ایجاد می‌ شوند. باج ‌افزار  Jaff که اولین بار در سال ۲۰۱۷ مشاهده شد، توجه ‌ها را به خود جلب کرده زیرا از طریق بات ‌نت Necurs منتشر شد، که قبلا باج ‌افزاری مانند Locky را منتشر کرده بود.

صفحه پرداختی که Jaff ارائه می‌ دهد بسیار یادآور صفحه پرداخت Locky است، اما با وجود این، آن‌ ها شباهت‌ های کمی دارند.

در حالی که آخرین گونه ‌های Locky تقریباً از ۸۰۰ عملکرد مختلف تشکیل شده ‌اند، کد Jaff  تنها از ۵۰ عملکرد تشکیل شده است که باعث می ‌شود Jaff ویژگی‌ های کامل و پیچیده بسیار کمتری داشته باشد.

با باج ‌افزارJaff  آشنا شوید

Jaff به زبان C نوشته شده و با استفاده از یک تکنیک مبهم ‌سازی بدافزار سفارشی بسته ‌بندی شده است. تکنیک ‌های مبهم‌ سازی (Obfuscators) ابزارهایی هستند که توسط نویسندگان بدافزار برای پنهان کردن آن در زیر چندین لایه رمزگذاری و فشرده ‌سازی به منظور دشوارتر کردن تجزیه و تحلیل آن ‌ها استفاده می‌ شوند.

مانند اکثر خانواده‌ های باج‌ افزار،Jaff  فایل‌ هایی را که رمزگذاری می‌ کند تغییر نام می ‌دهد و پسوند jaff را اضافه می‌ کند. هنگام آلوده کردن یک سیستم، یادداشت ‌های باج‌ گیری مبتنی بر HTML، متن و تصویر را به ترتیب با نام ‌های ReadMe.htm، ReadMe.txt و ReadMe.bmp به سیستم اضافه می ‌کند.

Jaff  در حال حاضر فقط شامل متون یادداشت باج انگلیسی است. نسخه‌ های فعلی باج حدود ۲.۰۳۶ بیت کوین را درخواست می‌ کنند که در حال حاضر حدود ۳۵۰۰ یورو، ۳۸۰۰ دلار آمریکا یا ۳۰۰۰ پوند انگلیس ارزش دارد.

چگونه سیستم به باج ‌افزار Jaff آلوده می‌ شود؟

Jaff  از طریق دانلودر/بات نت Necurs پخش می‌ شود. قبلا از Necurs برای توزیع Dridex و Locky استفاده می ‌شد. بر این اساس، بسیاری از محققان بر این باورند که Jaff ممکن است نسخه تکامل ‌یافته باج ‌افزار Locky باشد. با این حال، پس از تجزیه و تحلیلLocky  و Jaff می ‌توان نتیجه گرفت که باج ‌افزار Jaff یک خانواده باج ‌افزار کاملا متفاوت و بسیار کمتر پیچیده است.

در حال حاضر،Necurs  کاربران را از طریق ایمیل با یکی از موضوعات زیر هدف قرار می‌ دهد:

  • Scan_<numbers>
  • File_<numbers>
  • PDF_<numbers>
  • Document_<numbers>
  • Copy_<numbers>

ایمیل‌ ها حاوی یک سند PDF به عنوان پیوست هستند و از کاربر می‌ خواهند فایل سند-ماکرو(DOCM)  تعبیه‌ شده در سند PDF را باز کند.

اگر کاربر انتخاب کند که فایل DOCM را باز نماید، سپس از کاربر می ‌خواهد که «فعال کردن محتوا» (Enable Content) را به منظور مشاهده صحیح سند انجام دهد.

اگر کاربر روی دکمه “Enable Content” کلیک کند، ماکروی مخرب موجود در سند فعال می‌ شود و شروع به اجرا می‌ کند. ماکرو با سرور فرمان و کنترل خود تماس می ‌گیرد و فایل‌ های اجرایی کدگذاری شده XOR دیگری را دانلود و سپس رمزگشایی کرده و در سیستم کاربر اجرا می ‌کند.

تولید کلید و رمزگذاری

Jaff از ترکیبی از RSA و AES برای رمزگذاری داده‌ های کاربر استفاده می ‌کند. برای تسهیل رمزگذاری در یک سیستم، از CryptoAPI ویندوز استفاده می ‌شود. هنگامی که Jaff وارد سیستمی می‌ شود، ابتدا کلید RSA عمومی نویسنده بدافزار را وارد می ‌کند. هنگامی که کلید عمومی RSA نویسنده بدافزار با موفقیت وارد شد، بدافزار با ایجاد یک کلید ۲۵۶ بیتی AES جدید ادامه می‌ دهد.

سپس باج ‌افزار تمام درایوهای موجود و اشتراک ‌گذاری ‌های شبکه را برای فایل‌ هایی با یکی از پسوندهای زیر جستجو می ‌کند:

xlsx، .acd، .pdf، .pfx، .crt، .der، .cad، .dwg، .MPEG، .rar، .veg، .zip، .txt، .jpg، .doc و …

هنگامی که فایلی مطابق با یکی از آن پسوندها پیدا شد، بدافزار تا ۵۱۲ کیلوبایت اول را با استفاده از کلید ۲۵۶ بیتی AES در حالت CBC رمزگذاری می ‌کند. سپس کلید AES را با استفاده از کلید عمومی RSA نویسنده بدافزار رمزگذاری کرده و آن را همراه با اندازه بلوک رمزگذاری‌ شده و بایت ‌های رمزگذاری ‌شده در یک فایل جدید ذخیره می ‌کند. در نهایت نیز هر گونه داده غیر رمز گذاری‌شده را به فایل اضافه می‌ کند.

این رویه ممکن است در ابتدا پیچیده به نظر برسد، اما اساساً به نویسنده بدافزار اجازه می ‌دهد تا بدون نیاز به سرور فرمان و کنترلی که بدافزار باید در هنگام حمله با آن صحبت کند و ممکن است حذف شود، کار کند. این بدان معناست که Jaff می ‌تواند فایل ‌ها را بدون اتصال به اینترنت رمزگذاری نماید.

متأسفانه محققان پس از ارزیابی روشی که Jaff رمزگذاری را انجام می ‌دهد، به این نتیجه رسیدند که هیچ راهی برای بازیابی فایل‌ های رمزگذاری‌ شده بدون دسترسی به کلید خصوصی نویسنده بدافزار وجود ندارد. با این حال، به دلیل برخی نادیده ‌گیری‌های نویسندگان باج ‌افزار، ممکن است بتوان برخی از فایل ‌ها را از راه ‌های دیگری بازیابی کرد.

چگونه می ‌توان از سیستم خود در برابر باج‌ افزار Jaff محافظت کرد؟

جداسازی دستگاه آلوده

برخی از حملات باج‌ افزاری برای رمزگذاری فایل ‌ها در دستگاه ‌های ذخیره ‌سازی خارجی، آلوده کردن آن ‌ها و حتی انتشار در کل شبکه محلی طراحی شده ‌اند. به همین دلیل، جداسازی دستگاه (کامپیوتر) آلوده در اسرع وقت بسیار مهم است.

 

  • مرحله ۱: اتصال به اینترنت را قطع کنید.

ساده ‌ترین راه برای جدا کردن رایانه از اینترنت، جدا کردن کابل اینترنت از مادربرد است، با این حال، برخی از دستگاه‌ ها از طریق یک شبکه بی‌ سیم متصل می ‌شوند و برای برخی از کاربران (مخصوصاً آن ‌هایی که به فناوری علاقه خاصی ندارند)، ممکن است قطع کردن کابل ‌ها دشوار به نظر برسد. بنابراین، شما همچنین می‌ توانید سیستم را به صورت دستی از طریق کنترل پنل جدا کنید:

  • به «Control Panel» بروید، روی نوار جستجو در گوشه سمت راست بالای صفحه کلیک کنید، «Network and Sharing Center» را وارد و نتیجه جستجو را انتخاب کنید.
  • روی گزینه «Change adapter settings» در گوشه سمت چپ بالای پنجره کلیک کنید.
  • بر روی هر نقطه اتصال راست کلیک کرده و “Disable” را انتخاب کنید. پس از غیرفعال شدن، سیستم دیگر به اینترنت متصل نخواهد شد. برای فعال کردن مجدد نقاط اتصال، کافی است دوباره کلیک راست کرده و “Enable” را انتخاب کنید.
  • مرحله ۲: تمام دستگاه ‌های ذخیره ‌سازی را از برق بکشید.

همانطور که در بالا ذکر شد، باج ‌افزار ممکن است داده ‌ها را رمزگذاری کرده و به تمام دستگاه ‌های ذخیره‌ سازی متصل به رایانه نفوذ کند. به همین دلیل، تمام دستگاه‌ های ذخیره‌ سازی خارجی (درایوهای فلش، هارد دیسک ‌های قابل حمل و غیره) باید فوراً جدا شوند، با این حال، اکیداً به شما توصیه می ‌کنیم برای جلوگیری از خراب شدن اطلاعات، هر دستگاه را قبل از جدا کردن Eject کنید:

  • به «My Computer» بروید، روی هر دستگاه متصل راست کلیک کرده و «Eject» را انتخاب کنید.

شناسایی آلودگی باج ‌افزار

برای مدیریت صحیح آلودگی، ابتدا باید آن را شناسایی کرد. برخی از باج‌ افزارها از پیام ‌های باج‌ خواهی به عنوان مقدمه استفاده می ‌کنند.

با این حال، چنین امری نادر است. در بیشتر موارد، آلودگی‌ های باج‌ افزاری پیام ‌های مستقیم بیشتری را ارسال می‌ کنند که می ‌گویند داده‌ ها رمزگذاری شده ‌اند و قربانیان باید نوعی باج بپردازند. توجه داشته باشید که آلودگی ‌های باج ‌افزاری معمولاً پیام ‌هایی با نام فایل‌ های مختلف ایجاد می‌ کنند (به عنوان مثال، “_readme.txt”، “READ-ME.txt”، “DECRYPTION_INSTRUCTIONS.txt”، “DECRYPT_FILES.html”، و غیره). بنابراین، استفاده از نام پیام باج ممکن است راه خوبی برای شناسایی آلودگی به نظر برسد. مشکل این است که اکثر این نام ‌ها عمومی هستند و برخی از باج ‌افزارها از نام ‌های مشابهی استفاده می ‌کنند، حتی اگر پیام ‌های ارسالی متفاوت باشند و باج‌ افزارها نیز به هم مرتبط نباشند. بنابراین، استفاده از نام فایل پیام به تنهایی می ‌تواند بی ‌اثر بوده و حتی منجر به از دست رفتن دائمی داده‌ ها شود (به عنوان مثال، با تلاش برای رمزگشایی داده‌ ها با استفاده از ابزارهایی که برای آلودگی ‌های باج ‌افزاری مختلف طراحی شده‌ اند، احتمالاً کاربران برای همیشه به فایل‌ ها آسیب می ‌رسانند و رمزگشایی دیگر امکان ‌پذیر نخواهد بود؛ حتی با ابزار صحیح).

راه دیگر برای شناسایی آلودگی باج ‌افزار، بررسی پسوند فایل است که به هر فایل رمزگذاری شده اضافه می ‌شود. باج ‌افزارها اغلب با افزونه‌ هایی که اضافه می‌ کنند نام ‌گذاری می‌ شوند.

با این حال، این روش تنها زمانی مؤثر است که برنامه افزودنی اضافه ‌شده منحصر به فرد باشد. بسیاری از آلودگی ‌های باج ‌افزار یک برنامه افزودنی عمومی اضافه می ‌کنند (به عنوان مثال، “.encrypted”، “.enc”، “.crypted”، “.locked”، و غیره). در این موارد، شناسایی باج‌ افزار توسط پسوند ضمیمه آن غیرممکن می ‌شود.

یکی از ساده‌ ترین و سریع ‌ترین راه‌ها برای شناسایی آلودگی باج‌افزار، استفاده از وب‌سایت ID Ransomware است. این سرویس از اکثر آلودگی ‌های باج ‌افزار موجود پشتیبانی می‌ کند. قربانیان به سادگی یک پیام باج و/یا یک فایل رمزگذاری شده را آپلود می‌ کنند (به شما توصیه می‌ کنیم در صورت امکان هر دو را آپلود کنید).

باج‌ افزار در عرض چند ثانیه شناسایی می ‌شود و جزئیات مختلفی از جمله نام خانواده بدافزاری که آلودگی به آن تعلق دارد، امکان قابل رمزگشایی بودن آن و غیره در اختیار شما قرار می ‌گیرد.

اگر داده ‌های شما توسط باج ‌افزاری رمزگذاری شده است که توسط ID Ransomware پشتیبانی نمی ‌شود، می‌توانید با استفاده از کلمات کلیدی خاص (به عنوان مثال، عنوان پیام باج‌گیری، پسوند فایل، ایمیل ‌های تماس ارائه شده، آدرس‌های کیف پول رمزنگاری و غیره) در اینترنت جستجو کنید.

بازیابی فایل ‌ها با ابزارهای بازیابی اطلاعات

بسته به موقعیت (کیفیت آلودگی باج ‌افزار، نوع الگوریتم رمزگذاری مورد استفاده و غیره)، بازیابی داده ‌ها با برخی ابزارهای شخص ثالث ممکن است امکان‌ پذیر باشد. بنابراین، ما به شما توصیه می‌ کنیم از ابزار Recuva که توسط CCleaner توسعه یافته است استفاده کنید. این ابزار بیش از هزار نوع داده (گرافیک، ویدئو، صدا، اسناد و غیره) را پشتیبانی می‌ کند و بسیار بصری است (دانش کمی برای بازیابی اطلاعات لازم است). علاوه بر این، ویژگی بازیابی کاملا رایگان می ‌باشد.

جمع ‌بندی

بهترین محافظت در برابر باج ‌افزارهایی مانند Jaff، همچنان یک استراتژی پشتیبان قابل اعتماد و اثبات شده است، به خصوص که رمزگذاری استفاده‌ شده توسط Jaff ایمن بوده و تنها راه برای بازگرداندن داده‌ ها از طریق کمک نویسنده باج‌افزار یا از طریق بازیابی از نسخه ‌های پشتیبان می ‌باشد.