باج‌افزار Trigona خطری در کمین کاربران (پول زور نده!)

اطلاعاتم از دسترس خارج شده و پیام “اگر فایل‌هات رو  می‌خوای باید باج بدی” دریافت می‌کنم. چه کاری باید انجام بدم؟! سؤال متداولی که هنگام وقوع حمله‌های باج‌افزاری مطرح می‌شود…

باج‌افزارها نوعی بدافزار هستند که با رمزگذاری یا قفل‌‌گذاری فایل‌ها، دسترسی به داده‌ها، سامانه‌ها و دستگاه قربانی را محدود می‌سازند و  در مقابل ارائه کلید رمزگشایی اقدام به درخواست باج از قربانی می‌کنند.

باج‌افزار از زمان پیدایش تا کنون، به یکی از انواع حمله‌های سایبری خطرناک‌ و رایج‌ علیه شرکت‌های شخصی و دولتی تبدیل شده است. حمله باج‌افزاری که بیشتر بر علیه سازمان‌ها و از طریق فیشینگ صورت می‌گیرد، می‌تواند دربردارنده لطمه‌های جدی و جبران‌ناپذیری برای افراد و سازمان‌ها باشد. پیش از این سازمان‌ها صرفا با بازگردانی نسخه‌های پشتیبان (Backup) سعی در عدم پرداخت باج به هکر‌ها داشتند اما در وضعیت کنونی، نفوذگران به حدی حمله‌های خود را توسعه بخشیده‌اند که قربانیان مجبور به پرداخت باج در برابر این تهدید جدی می‌شوند.

در ادامه این متن به شرح مختصری از عملکرد باج‌افزار و معرفی یکی از انواع جدید آن با درجه تخریب زیاد به نام Trigona و روش‌های پیشگیری از آلودگی پرداخته شده است.

باج‌افزار چیست؟

همان‌طور که اشاره شد، باج‌افزار نوعی بدافزار است که نفوذگر با اجرای آن بر روی سیستم قربانی، سعی در سرقت اطلاعات و محدود کردن دسترسی‌های کاربر آن دارد. به طور کلی هکر‌ها پس از نفوذ به سیستم هدف و ایجاد دسترسی اولیه، شروع به شناسایی اطلاعات و داده‌های حیاتی می‌کنند و با استخراج آنها، دسترسی قربانی را محدود و یا غیر ممکن می‌کنند.

گفتنی است که تقاضای باج با توجه به نوع باج‌افزار و ارزش اطلاعات و فایل‌های رمزگذاری شده ممکن است متفاوت باشد. برخی از گونه‌های باج‌افزار درخواست وجه و یا بیت‌کوین می‌کنند و گاهی نیز در صورت عدم پرداخت وجه، تهدید به حذف یا انتشار اطلاعات قربانی می‌کنند.

از جمله علائم وقوع حمله باج‌افزار در سیستم شامل: خرابی و از کار افتادن دستگاه، نمایش پاپ‌آپ‌های بی‌شمار جهت کلیک قربانی روی آنها یا دانلود پیوست یا لینک آلوده، مشاهده صفحه تاریک همراه با یادداشت باج‌افزار و درخواست باج و… می‌باشد.

شیوه‌های نفوذ باج‌افزار‌ها

از جمله روش‌هایی که باج‌افزارها از طریق آن به رایانه‌ها، سرورها و گوشی‌های تلفن‌ همراه قربانیان نفوذ می‌کنند،‌ می‌توان به موارد زیر اشاره کرد:

❎ ارسال بدافزار از طریق مرورگر و وب‌سایت‌های مخرب یا نرم‌افزارهای مخرب

❎ تزریق کد مخرب به نرم‌افزار‌های آسیب‌پذیر و وصله نشده

❎ استفاده از رو‌ش‌های مهندسی اجتماعی و ایمیل‌های فیشینگ

باج‌افزار Trigona

Trigona نوع جدیدی از باج‌افزار‌ها می‌باشد که از سال ۲۰۲۲ شروع به فعالیت کرده است. این باج‌افزار با استفاده از روش AES (Advanced Encryption Standard) فایل‌ها را رمزگذاری می‌کند، سپس نام فایل‌ها را به نام‌های تصادفی تغییر داده و پسوند._locked را به انتهای این نام اضافه می‌کند. استاندارد رمزگذاری پیشرفته یا AES ، نوعی الگوریتم رمزنگاری بلوکی 128 بیتی متقارن است که داده ورودی را پس از انجام عملیات رمزنگاری (Encryption) تبدیل به کلید رمز (Secret Key) می‌کند.

نمونه‌ای از باج‌افزار Trigona که مختص سرورهای ESXi می‌باشد، بر روی فایل‌های vm و log اعمال شده و بر روی سایر انواع فایل تغییری ایجاد نمی‌کند. برای اجرای باج‌افزار لازم است مسیر مورد نظر برای رمز نمودن فایل‌ها به عنوان مقدار پارامتر p/ یا path/ ارسال شود.

علائم آلودگی

• وجود فایل how_to_decrypt.txt در همه دایرکتوری‌ها
• رمز شدن فایل‌های مربوط به ماشین‌های مجازی (vmware) ایجاد شده بر روی سرور ESXi
• رمز شدن تمامی فایل‌های log

روش مقابله و پاکسازی سیستم

✅ از نرم‌افزار‌های امنیتی به روز و معتبر استفاده کنید. محصولات آنتی‌ویروس پادویش، باج‌افزار Trigona را شناسایی کرده و از سیستم حذف می‌کنند.

✅ در بازگردانی سیستم‌ها به وضعیت عادی پس از حمله، وجود نسخه پشتیبان به روز که به صورت آفلاین نگهداری شود، بسیار حائز اهمیت است. بدین ترتیب الزامی است که از اطلاعات سیستم‌های حیاتی خود به طور منظم پشتیبان‌گیری کنید.

✅ سیستم‌ عامل و نرم‌افزارهای خود را به طور مداوم  به‌روزرسانی کنید.

✅ توصیه می‌شود، جهت پیشگیری از آلودگی احتمالی به باج‌افزارها از منابع و لینک‌های نامعتبر فایل دریافت نکنید.

✅ کسب آگاهی در زمینه روش‌های معمول نفوذ باج‌افزار‌ها و آموزش راهکارهای پیشگیرانه به کارمندان نیز مسئله‌ مهمی تلقی می‌شود.