هشدار! کاربران ایرانی هدف باج افزار فارسی تایرنت

به گزارش مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای - CERTCC) باج‌افزار جدیدی در کشور منتشر شده که امکان آلوده شدن کامپیوتر کاربران به آن بیشتر است. این باج‌افزار که Tyrant نام دارد، برای اولین بار در تاریخ ۱۶ اکتبر توسط محقق امنیتی شرکت جی دیتا کشف شد. تایرنت در پوشش نرم‌افزار تغییر آی‌پی سایفون سعی در فریب کاربران به‌منظور نصب آن دارد و بعد از نصب، از کاربر باج‌گیری می‌کند.

همانطور که در تصاویر بالا مشاهده می‌کنید، تایرنت به زبان فارسی پیغام زیر را برای کاربر به نمایش درمی‌آورد:

 اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باج‌افزار تایرنت آلوده شده و تمام فایل‌ها، پوشه‌ها و درایوهای سیستم شما درگیر و توسط الگوریتم‌های بسیار پیچیده (ای‌بی‌اس‌آی و ای‌ای‌اس) رمزنگاری و کلید رمزگشایی فایل‌های شما به‌صورت خودکار برای ما ارسال شده است.

این بدافزار ابتدا دسترسی کاربر را از سیستم قطع و سپس اقدام به رمزگذاری فایل‌های وی می‌کند، در نهایت برای پرداخت ۱۵ دلار، ۲۴ ساعت به کاربر مهلت می‌دهد و از آنجایی که صفحه به زبان فارسی است، تنها کاربران ایرانی قربانی آن هستند. این باج‌افزار دو درگاه exchanging.ir و webmoney724.ir را برای پرداخت باج به کاربران پیشنهاد می‌دهد. علاوه بر این، تایرنت دو راه ارتباطی ایمیل و آی‌دی تلگرام را در دسترس کاربران قرار داده است. البته این نکته به‌وضوح قابل درک است که سازنده‌ی این باج‌افزار از قابلیت ردگیری آی‌دی تلگرام و کشف شماره مرتبط با آی‌دی بی‌خبر بوده است و در غیر این‌ صورت، هرگز این راه ارتباطی را در دسترس همگان قرار نمی‌داد، چراکه امکان ردیابی به این شکل بسیار بالا است. (تابستان سال گذشته گروهی موسوم به Rocket Kittens با استفاده از یک آسیب‌پذیری توانستند به ارتباط بین آی‌دی کاربران تلگرام و شماره‌های آن‌ها دست یابند که این کار پیدا کردن شماره با داشتن آی‌دی تلگرام را میسر می‌ساخت.)

تایرنت مبتنی بر باج‌‌افزار DUMB است که پیش‌تر کاربران ترک‌زبان را هدف قرار داده بود. نسخه‌ی اولیه‌ی باج‌افزار دامپ از کدنویسی ضعیفی برخوردار بود که پس از بسته شدن صفحه‌ی باج‌افزار توسط کاربر، فایل رمزگذاری شده، به‌صورت خودکار کدگشایی می‌شد. باج‌افزار دامپ مبتنی بر کد اثبات مفهوم یا proof-of-concept است که در پایگاه گیت‌هاب نیز منتشر شده است. تایرنت مبتنی بر سیستم‌عامل‌ ویندوز است و تقریبا نیمی از آنتی‌ویروس‌ها قادر به شناسایی آن هستند. 

بر اساس تحقیقات کارشناس امنیتی MalwareHunter ، از آنجایی که باج‌افزار تایرنت به فارسی ترجمه شده، نسبت به فایل اصلی شامل تغییراتی است که رمزگشایی آن را آسان می‌کند. علاوه بر این، مرکز ماهر نیز گزارش مشابهی مبنی بر ضعیف بودن کدگذاری این باج‌افزار منتشر کرده است. این مرکز در خصوص تایرنت گفت:

بر اساس بررسی‌های اولیه متوجه شدیم که این نسخه‌‌ مقدمه‌ای برای یک حمله‌ی بزرگ است؛ چراکه این نسخه از ضعف‌هایی مثل رمزگذاری ضعیف، عدم موفقیت در رمزگذاری فایل‌های کاربر و موفق نبودن عملکرد آن پس از ریبوت سیستم توسط کاربر برخوردار است. با این وجود به نظر نمی‌رسد که تاکنون از محل این باج‌افزار خسارت قابل توجهی ایجاد شده باشد.

بر اساس گزارش مرکز ماهر، با توجه به ماهیت حمله، استفاده از دیگر روش‌های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت‌نشده نیز محتمل است. امروزه استفاده از اتصالات RDP افزایش یافته که خطر نصب باج‌افزار در سیستم کاربران را به دنبال دارد؛ از این‌رو بسیاری از باج‌افزارها از ارتباط RDP برای آلوده کردن سیستم کاربران استفاده می‌کنند. 

راهکارهای پیشگیری:

• از دریافت فایل‌های اجرایی در شبکه‌های اجتماعی و اجرای فایل‌های ناشناخته و مشکوک پرهیز شود.
• از دانلود و اجرای فایل‌های پیوست ایمیل‌های ناشناس و هرزنامه‌ها خودداری شود.
• دقت ویژه در به‌روزرسانی دائم سیستم عامل و آنتی ویروس
• دقت ویژه در پرهیز از استفاده از دسترسی راه دور و رعایت دقیق تمهیدات امنیتی در صورت عدم امکان حذف دسترسی راه دور  
• عدم استفاده از مجوز دسترسیAdministrator روی سیستم‌های کاربران سازمان