خوش آمدید

محققان امنیتی مرکز محافظت در برابر باج افزار شرکت مایکروسافت (MMPC) به تازگی به وجود نسخه جدیدی از باج افزار Troldesh که Encoder.858 و Shade Ransomware نامیده شده است، پی برده‌اند.

به گزارش کلیک، در حالی که انواع مختلفی از باج افزارها در سراسر دنیا با ترفندهای متفاوتی پیوسته در حال تغییر و تحول هستند، این نسخه از Troldesh در فعالیت‌های عملیاتی سیستم‌های کامپیوتری تغییرات گسترده‌ای ایجاد می‌کند و تهدید بزرگی برای چنین فعالیت‌هایی محسوب می‌شود.

Troldesh از تهدید ایمیل‌های شخصی کار خود را آغاز کرد و تا تهدید درگاه پرداخت Tor نیز پیش رفته است.

جدیدترین نسخه Troldesh اخیرا از یک دارک وب (Dark Web) (به شبکه‌ای گفته می‌شود که در دسترس عموم قرار نمی‌گیرد و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار می‌گیرد و همهٔ فعالیت‌های آن غیرقابل ردیابی و شناسایی است) استفاده کرده است و کاربران را وادار کرده است که به درگاه اختصاصی که توسط این باج افزار ایجاد شده است، مراجعه کرده و ID خاصی را که در یادداشت درخواست پول نوشته شده است، وارد کنند و سپس دستورالعمل‌های بیشتر را برای پرداخت مبلغ مورد نظر دریافت کنند.

نسخه‌های قبلی این باج افزار به صورتی بود که ایمیلی برای قربانی ارسال می‌شد و هکر از فرد مورد نظر می‌خواست تا برای دریافت دستورالعمل‌های بیشتر برای پرداخت مبلغ مورد نظر، ایمیلی را به آدرس ایمیل نمایش داده شده، ارسال کند.

محققان امنیتی غالبا برای مقابله با چنین باج افزارهایی، آدرس‌های ایمیل ارسال شده توسط باج افزارها را به سرویس‌هایی که آن‌ها را میزبانی می‌‌کردند، گزارش می‌کردند و سرویس‌های میزبان نیز آن‌ها را مسدود می‌کردند.

درگاه پرداخت Tor در حال حاضر در دسترس نیست و بازیابی فایل‌ها نیز غیر ممکن است.

احتمالا افرادی که این باج افزار را کنترل می‌کنند، پیوسته تعدادی کافی از آدرس‌های ایمیل را ایجاد می‌کنند و دست به ایجاد نسخه جدیدی از باج‌ افزار می‌زنند که این آدرس‌های ایمیل مختلف را در یاداشت‌های درخواست پول که برای قربانی ارسال می‌شود، قرار دهد. هکرها تصمیم گرفتند از وب سایت Tor برای اهداف خود استفاده کنند.

استفاده از وب سایت Tor برای قربانیان یا حداقل برای افرادی که قصد دارند برای رهایی از تهدید باج افزار مبلغ مورد خواست را بپردازند، خبر خوبی است.

در صورتی که آدرس‌های ایمیل ارسال شده مسدود شود، هیچ راهی برای تماس با هکرهای کنترل کننده این باج افزار وجود ندارد و قربانیان هیچ ابزاری برای بازیابی فایل‌ها در اختیار ندارند و مسدود کردن وب سایتی که بر اساس سامانه نرم افزاری تور ایجاد شده است، برای شرکت‌های امنیتی کمی دشوار است و یا حتی غیر ممکن است.

Troldesh در یاداشت درخواست پول جدید خود، برای لیست کردن آدرس‌های وب‌سایت Tor از طریق وبسایت‌های onion.to و onion.cab،از پروکسی سرورهای (سروری که برای کامپیوترهای دیگر این امکان را ایجاد می‌کند که به طور غیر مستقیم با مقصدشان ارتباط برقرار کنند) Tor استفاده می‌کنند. طبق گفته مایکروسافت در حال حاضر سایت onion.cab در دسترس نیست و افرادی که قصد دارند پول درخواست شده از طرف هکرها را پرداخت کنند، می‌توانند از طریق وارد کردن آدرس این سایت در مرورگر Tor بدون وارد کردن پسوند cab در انتهای آدرس، به این سایت دسترسی پیدا کنند.

استفاده از افزونه‌های جدید

در نسخه جدید این باج افزار از دو افزونه استفاده شده است که در انتهای فایل‌های رمزگذاریشده افزوده شده‌اند. این دو افزونه  da_vinci_code و .magic_software_syndicate هستند. خطاهایی در یادداشت درخواست پول وجود دارد که تعداد آن‌ها زیاد نیست. علاوه بر آن Troldesh در حال حاضر قادر است که انواع بیشتری از فایل‌ها را رمزگداری کند و سیستم‌های کاربران را با بد‌‌افزار جدیدی که Mexar نام دارد، آلوده کند. این بد افزار جدید است و مایکروسافت آن را برای اولین بار در تاریخ ۷ جولای (۱۷ تیر) مشاهده کرد و هنوز اطلاعات زیادی در مورد نحوه عملکرد این بد افزار وجود ندارد.

در آماری که چند روز پیش توسط مایکروسافت منتشر شد، Troldesh به عنوان دهمین باج افزار فعال در ۳۰ روز گذشته رده بندی شده بود.