یکی از وظایف اصلی آزمایشگاه امسی سافت، پیگیری خانواده های جدید باج افزارهاست. هدف اصلی ما یافتن نقص ها و ضعف های این باج افزارهاست تا با رمزگشایی هرچه بیشتر آنها بتوانیم به قربانیان بیشتری کمک کنیم. همچنین به عنوان بخشی از تحقیقات خود، اغلب جزء اولین افرادی هستیم که با باگ های موجود در ابزارهای رمزگشای منتشر شده در دنیا مواجه می شویم.
باگ موجود در ابزار رمزگشای باج افزار Babuk
در این مورد خاص، یک باگ جدی در باج افزار Babuk پیدا کردیم که سرورهای Linux و به طور خاص سرورهای ESXi را هدف قرار داده است. ESXi یک پلتفرم مجازی سازی محبوب است که توسط شرکت VMware ارائه می شود. پلتفرم های مجازی ساز مانند ESXi، برای بسیاری از خانواده های باج افزاری مانند Darkside و Babuk، به یک هدف پردرآمد تبدیل شده اند.
این باج افزار برای اولین بار در ابتدای سال 2021 منتشر شد و مانند اکثر باج افزارها، ابتدا منحصراً بر روی سیستم عامل های ویندوز تمرکز داشت. در طی دو ماه گذشته، روند رو به رشد بسیار زیادی داشته و حمله به سیستم عامل های مبتنی بر Linux مانند ESXi را نیز در دستور کار خود قرار داده است.
متأسفانه اشکالات اساسی و متعددی در طراحی این باج افزار و حتی ابزار رمزگشای منتشر شده برای آن وجود دارد که می تواند منجر به از دست رفتن اطلاعات شده و خسارت های جبران ناپذیری را به قربانیان تحمیل کند.
یکی از اشکالاتی که در خود باج افزار Babuk در پلتفرم ESXi وجود دارد، این است که گاهی چندین بار یک فایل خاص را رمزگذاری می کند. با اینکه چندین لایه رمزگذاری می تواند آزار دهنده باشد، اما در نهایت فقط به این معنی است که قربانی می تواند با تکرار متوالی عملیات رمزگشایی، اطلاعات خود را بازگردانی کند. باگ مهم دیگری در این باج افزار وجود دارد که گاهی اوقات تنها فایل های موجود بر روی سرور ESXi را بدون اینکه رمز نگاری کند، تغییر نام می دهد. این تغییر نام باعث می شود ابزار رمزگشایی که برای آن منتشر شده است، بدون بررسی اینکه آیا فایل مورد نظر واقعا رمزگذاری شده یا خیر، شروع به عملیات رمزگشایی کرده و در این فرآیند بسیاری از فایل ها به اشتباه و برای همیشه حذف می شوند.
متاسفانه اینگونه باگ ها و نقص ها در باج افزارها و ابزارهای رمزگشا، به طور فزاینده ای در حال رشد است. به همین دلیل امسی سافت یک سرویس تخصصی برای باج افزارها به قربانیان ارائه می دهد. بررسی فایل های رمزگذاری شده جهت یافتن ابزار رمزگشا، مشاوره در خصوص نحوه بازیابی اطلاعات، توصیه های امنیتی برای جلوگیری از آلوده شدن مجدد، بررسی و رفع باگ و ایرادات ابزارهای رمزگشا، از جمله ویژگی های این سرویس هستند.
در نهایت بار دیگر تأکید می کنیم که قبل از اجرای هر نوع ابزار رمزگشا مستقل از اینکه منبع آن چیست، گرفتن یک نسخه پشتیبان از فایل های رمزنگاری شده بسیار مهم است. بدون رعایت این نکته، هر گونه ایرادی هرچند کوچک، می تواند منجر به از دست رفتن غیر قابل بازگشت اطلاعات شود. ما کاملا درک می کنیم که پس از هر حمله باج افزاری، فشار بسیار زیادی برای بازگردانی اطلاعات و راه اندازی مجدد سیستم ها در اسرع وقت بر روی افراد وجود دارد. اما رعایت نکردن همین نکات به ظاهر ساده، می تواند خسارت های جبران ناپذیری به اطلاعات شرکت و در نهایت اعتبار شما و کسب و کارتان بزند.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
PSA: Severe bug in Babuk ransomware decryptor leads to data loss
بدون نظر