کاربران ایرانی مراقب باشند

گروه فناوری- نوع جدیدی از بدافزار باج‌گیر در فضای سایبری کشور منتشر شده که این ویروس تنها برای هدف قرار دادن کاربران فارسی‌زبان طراحی شده است.
این باج‌افزار که موسوم به TYRANT است، با الهام از یک باج‌افزار متن‌باز در فضای سایبری منتشر شده است که از صفحه باج‌خواهی به زبان فارسی استفاده می‌کند و طبیعتا کاربران فارسی‌زبان را هدف قرار داده است.از سوی دیگر باج‌افزاری تولید شده است که تلفن‌های هوشمند مبتنی بر سیستم‌عامل اندروید را هدف قرار داده است. این باج‌افزار که از اولین نوع باج‌افزار‌هایی به‌شمار می‌رود و تنها به گوشی‌های هوشمند آسیب می‌زند، از طریق سوءاستفاده از نام و تصویر نرم‌افزارAdobe Flash Player کاربران را تشویق به نصب می‌کند.
تنها نیمی از آنتی‌ویروس‌ها قادر به شناسایی «تای‌رنت» هستند
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) نسبت به نوع جدیدی از باج‌افزار خطرناک با زمینه فارسی در فضای سایبری کشور هشدار داد و اعلام کرد: باج‌افزار TYRANT در محیط سیستم‌عامل‌های ویندوزی عمل می‌کند تا این لحظه تقریبا فقط نیمی از آنتی‌ویروس‌های معتبر، قادر به شناسایی این بدافزار هستند.این باج‌افزار با قفل کردن دسترسی به سامانه‌های قربانی و رمز کردن فایل‌های سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیرقابل پیگیری تلگرام(@Ttypern) و ایمیل(rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده می‌کند.
در گزارش‌های واصله، روش انتشار این باج‌افزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکه‌های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می‌کند که در حقیقت حاوی بدافزار است.
البته با توجه به ماهیت حمله، استفاده از دیگر روش‌های مرسوم برای توزیع این بدافزار از جمله پیوست ایمیل، انتشار از طریق وب‌سایت آلوده یا RDP حفاظت‌نشده نیز محتمل است.
روش انتقال باج که این باج‌افزار از آن استفاده می‌کند، Web money است و سازنده باج‌افزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب‌سایت‌های فارسی ارائه‌کننده این نوع از ارز الکترونیکی توسط باج‌افزار معرفی می‌شوند.تحلیل‌های اولیه نشان می‌دهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگ‌تر باشد چراکه با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایل‌ها، گاهی باج‌افزار موفق به رمزگذاری فایل‌های قربانی نمی‌شود و از آن مهم‌تر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ری‌استارت کردن سیستم نمی‌شود.
با این وجود به نظر نمی‌رسد تاکنون از محل این باج‌افزار خسارت قابل توجهی ایجاد شده باشد.
باج‌گیری با سوءاستفاده از تصویر نرم‌افزار ادوبی
از طرفی بررسی‌های انجام‌شده در مرکز ماهر حاکی از آن است که همان‌طور که پیش‌بینی می‌شد اولین باج‌افزار موثر تولید‌شده برای تلفن‌های هوشمند مبتنی بر سیستم‌عامل اندروید، پا به عرصه حملات باج‌افزاری گذاشته است. این باج‌افزار که محققان نام Double Locker بر آن گذاشته‌اند در یکی از آزمایشگاه‌های مرکز ماهر مورد ارزیابی و تحلیل قرار گرفته است.
نحوه آلوده‌سازی
این باج‌افزار با ترفند سوءاستفاده از نام و تصویر نرم‌افزار
Adobe Flash Player کاربران را تشویق به نصب می‌کند. در زمان نصب این بدافزار ابتدا مجوزهایی برای قرار گرفتن صفحه برنامه روی سایر برنامه‌ها و قابلیت تغییر و حذف اطلاعات موجود در کارت حافظه از کاربر درخواست می‌شود و در صفحه‌ای گذرا نیز دسترسی کامل به تمام منابع و امکانات از قبیل حذف تمام اطلاعات موجود در دستگاه، تغییر رمز ورود دستگاه و تعریف مجدد رمز عبور از سوی باج‌افزار و… به کاربر نمایش داده می‌شود. پس از تایید کاربر و نصب موفقیت‌آمیز باج‌افزار در دستگاه قربانی، فایل‌های کاربر با روش۲۵۶- AES رمزگذاری می‌شوند و پسوند آنها به cryeye تغییر می‌یابد. همچنین یک پیغام باج‌خواهی روی صفحه دستگاه اندرویدی ظاهر شده و الگو و رمز ورود به دستگاه تغییر می‌یابد. به این ترتیب باید این باج‌افزار را ترکیبی از دو خانواده معروف باج‌افزارها یعنی باج‌افزارهای قفل‌کننده سیستم‌عامل و باج‌افزارهای رمزگذاری فایل دانست. باج مطالبه‌شده ۰۱۳/۰ بیت‌کوین است و تنها گزینه‌ای که به جای پرداخت باج در حال حاضر برای رهایی از دست این باج‌افزار موجود است، reset factory دستگاه و گذشتن از اطلاعات موجود در آن است.
روش‌های پیشگیری
پرهیز از دریافت فایل‌های اجرایی در شبکه‌های اجتماعی و اجرای فایل‌های ناشناخته و مشکوک و نیز خود‌داری از دانلود و اجرای فایل‌های پیوست ایمیل‌های ناشناس و هرزنامه‌ها از راه‌های اولیه پیشگیری از آلودگی به باج‌افزار‌هاست. همچنین اقداماتی از قبیل به‌روزرسانی دائم سیستم‌عامل و آنتی‌ویروس، پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی، عدم استفاده از مجوز دسترسی Administrator روی سیستم‌های کاربران سازمانی‌، نصب آنتی‌ویروس‌های معتبر، عدم دانلود و نصب نرم‌افزار جز از طریق منابع شناخته‌شده و مطمئن‌، تهیه مستمر نسخه پشتیبان از اطلاعات ارزشمند و حساس و عدم نگهداری اطلاعات حساس روی دستگاه‌های اندرویدی در پیشگیری از آلودگی و نیز دسترسی یا قفل اطلاعات مهم به شمار می‌روند؛ دقت در ارائه مجوز‌های دسترسی در زمان نصب نرم‌افزارها و پرهیز از ارائه مجوز‌های نامعقول حتی هنگام نصب برنامه‌های اجرایی دانلود‌شده از منابع قابل اعتماد مانند کافه‌بازار، google play و… (به‌عنوان مثال دلیلی وجود ندارد که نرم‌افزاری که تنها کاربرد آن ویرایش عکس است مجوز دسترسی به فهرست مخاطبان یا متن پیامک‌ها را داشته باشد.)