اشکال RansomEXX در رمزگذاری فایل های لینوکسی

محققان سایبری شرکت Profero کشف کرده‌اند که گروه باج‌افزاری RansomExx به درستی فایل‌های لینوکسی به سرقت برده را رمزگذاری نکرده‌اند و این موضوع منجر به تخریب فایل‌ها شده است. 

در این گزارش اعلام شده است که کلید رمزگشای گروه RansomExx بر روی فایل‌های مختلفی که با استفاده از رمزگذار ESXI لینوکس رمز شده بودند، به درستی عمل نکرده و این موضوع متوجه قربانیانی شده است که باج مورد درخواست این گروه را پرداخت کرده‌اند. بعد از انجام مهندسی معکوس بر روی این باجگیر، مشخص شد که رمزگشایی مشکل ساز که متوجه فایل‌های لینوکسی شده است، ناشی از رمز شدن اشتباه فایل‌ها در حین رمزگذاری بوده است.

در صورتی که پیش از رمز شدن فایل، باج افزار سعی کند فایل لینوکس را همزمان با نوشتن پردازه دیگری بر روی آن رمزگذاری کند، فایل نهایی رمزگذاری شده شامل هر دو داده رمزگذاری شده و رمز گذاری نشده خواهد بود. به عبارتی دیگر، نسخه لینوکس RansomEXX اصلاً سعی نکرده که فایل را رمز کند چرا که وقتی فایلی را رمزگذاری می‌کند، کلید رمزگشایی RSA آن را نیز به انتهای هر فایل رمز شده اضافه می‌کند. پس از پرداخت باج توسط قربانیان، باجگیران کلید رمزگشا برای از بین بردن قفل داده‌ها و اطلاعات ارسال می‌کنند. با این حال، به دلیل وجود این نوع رمزگذاری اشتباه، کلید دریافت شده قادر به رمزگشایی درست اطلاعات و فایل‌ها نخواهد بود.

شرکت Profero، برای کمک به کاربران خود و جامعه امنیت سایبری، فایل رمزگشای اپن سورس RansomEXX را منتشر کرده است که می‌تواند فایل‌های رمز شده با مشکل قفل فایل را رمزگشایی کند. با وجود اینکه مهاجمان یک ابزار رمزگشایی به قربانیانی که مبلغ باج درخواستی را پرداخت کرده‌اند ارائه می‌‌دهد، اما این خطر وجود دارد که ابزار دریافت شده فایلی مخرب باشد. این امر مستلزم آن است که قربانیان ابزار رمزگشایی ارائه شده را مهندسی معکوس کنند تا اطمینان حاصل شود که هیچ پی لود مخفی یا مخربی درون آن وجود ندارد. اما باید در نظر داشت که صرف زمان برای چنین اقدامی، برای بسیاری از سازمان‌ها در هنگام حادثه باج افزاری بسیار حیاتی است.

با توجه به پیچیده‌تر شدن تکنیک‌های باج افزاری و مشکلات مربوط به فایل‌های رمزگشا، همچنان استفاده از ابزارهای دفاعی ضد باجگیر برای پیشگیری از آلودگی سیستم‌ها به باج افزار، بهترین و مطمئن‌ترین راه خواهد بود.