[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading heading=’یک باج‌ افزار جدید به‌سرعت در حال پخش شدن در چین است و بیش از ۱۰۰٫۰۰۰ کامپیوتر را آلوده کرده است.’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]

نوع جدیدی از باج‌ افزارها به‌سرعت در سراسر چین در حال گسترش یافتن است و بیش از ۱۰۰،۰۰۰ کامپیوتر را در چهار روز گذشته درنتیجه یک حمله زنجیره-تأمین آلوده کرده است و تعداد کاربران آلوده‌شده به‌طور مداوم در هر ساعت در حال افزایش است.

نکته جالب در ارتباط با این باج‌ افزار این است که برخلاف دژافزارهای از نوع باج‌ افزار، این ویروس جدید باج درخواستی خود را در واحد بیت‌کوین از قربانیان تقاضا نمی‌کند.

در عوض، مهاجمان از قربانیان درخواست پرداخت ۱۱۰ یوان (تقریباً ۱۶ دلار) به‌عنوان باج و با استفاده از WeChat Pay را می‌کنند. این قابلیت پرداخت در حقیقت توسط محبوب‌ترین برنامه پیام‌رسان چینی یعنی WeChat ارائه شده است.

[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2018/12/ransomware-note.png’ attachment=’2754′ attachment_size=’full’ align=’center’ styling=’circle’ hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
باج‌گیر افزار و سارق کلمه عبور– برخلاف باج‌ افزارهای WannaCry و NotPetya که باعث ایجاد هرج‌ومرج در جهان در سال گذشته شدند ، این باج‌ افزار جدید تنها کاربران چینی را هدف است.
این باج‌گیر  همچنین دارای توانایی اضافی برای سرقت گذرواژه حساب کاربران برای Alipay، سرویس پست الکترونیک NetEase 163 ،Baidu Cloud Disk ،Jingdong (JD.com) ،Taobao ،Tmall، AliWangWang و وب‌سایت‌های QQ است.
یک حمله زنجیره تأمین – بر اساس گفته شرکت امنیت سایبری و آنتی‌ویروس چینی Velvet Security مهاجمان یک کد موذی را به نرم‌افزار برنامه‌نویسی EasyLanguage که توسط تعداد زیادی از توسعه‌دهندگان نرم‌افزار استفاده می‌شود، اضافه کردند.
این نرم‌افزار برنامه‌نویسی موذی ویرایش شده به‌گونه‌ای طراحی شده است که کد این باج‌گیر افزار را به هر نرم‌افزاری که از طریق آن کامپایل شده باشد، تزریق می‌کند. این در حقیقت نمونه دیگری از یک حمله زنجیره تأمین نرم‌افزار برای پخش کردن ویروس با سرعت بالاست.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2018/12/chinese-ransomware-attack.png’ attachment=’2755′ attachment_size=’full’ align=’center’ styling=’circle’ hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]
بیش از ۱۰۰٫۰۰۰ کاربر چینی که هرکدام از برنامه‌های آلوده‌شده‌ی لیست شده در بالا را نصب کرده‌اند، سیستم‌های خود را به خطر انداخته‌اند. این باج‌ افزار تمام فایل‌های سیستم آلوده را به‌جز فایل‌های با پسوند gif، exe و tmp extensions رمزگذاری می‌کند.
استفاده از امضای دیجیتال سرقت شده – برای دفاع در برابر برنامه‌های آنتی‌ویروس، مهاجمان کد موذی خود را با استفاده از یک امضای دیجیتالی قابل‌اعتماد از طرف Tencent Technologies امضا کردند و از رمزگذاری اطلاعات در برخی از دایرکتوری‌های خاص مانند Tencent Games، League of Legends، tmp، rtl، و  program خودداری کردند.
پس از رمزگذاری، این باج‌ افزار یک یادداشت را نمایش می‌دهد و از کاربران می‌خواهد برای دریافت کلید رمزگشایی ۱۱۰ یوان به‌حساب WeChat مهاجم ظرف مدت ۳ روز پرداخت کنند.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2018/12/tencent-digital-signature.png’ attachment=’2756′ attachment_size=’full’ align=’center’ styling=’circle’ hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]
اگر در زمان تعیین‌شده باج درخواستی پرداخت نشود، این بدافزار تهدید می‌کند که کلید رمزگشایی را از سرور از راه دورِ فرمان و کنترل خود حذف می‌کند.
علاوه بر رمزگذاری فایل‌های کاربر، این باج‌افزار همچنین به‌صورت مخفیانه اطلاعات ورود کاربران را برای وب سایت‌های محبوب چینی و حساب‌های رسانه‌های اجتماعی سرقت می‌کند و آن‌ها را به یک سرور از راه دور ارسال می‌کند.
این باج‌ افزار همچنین اطلاعات سیستم شامل مدل پردازنده، رزولوشن صفحه، اطلاعات شبکه و فهرست نرم‌افزار نصب‌شده را جمع‌آوری می‌کند.
این باج‌افزار ضعیف، شکسته شده است – محققان امنیتی سایبری در چین بر این باورند که این باج‌ افزار به‌صورت ضعیف برنامه‌ریزی شده است و مهاجمان در مورد روند رمزنگاری آن دروغ گفتند.
یادداشت این باج‌ افزار می‌گوید که فایل‌های کاربران با استفاده از الگوریتم رمزگذاری DES رمزگذاری شده‌اند اما درواقع این باج‌ افزار رمزنگاری داده‌ها را با استفاده از یک دنباله XOR که دارای ایمنی کمتری است انجام داده است و یک کپی از کلید رمزگشایی را به‌صورت محلی بر روی سیستم قربانی در یک پوشه در مکان زیر ذخیره می‌کند:
%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
با استفاده از این اطلاعات، تیم امنیتی Velvet یک ابزار رمزگشایی رایگان برای این باج‌ افزار را ایجاد و منتشر کرده است که به‌راحتی می‌تواند فایل‌های رمزگذاری شده برای قربانیان باز کند بدون این‌که آن‌ها مجبور به پرداخت هرگونه باج شوند.
محققان همچنین موفق به شکستن و دسترسی به سرورهای پایگاه داده MySQL و سرورهای فرمان و کنترل مهاجمان شدند و هزاران اطلاعات کاربری که در آن‌ها ذخیره شده بود را استخراج کردند.
چه کسی پشت حمله این باج‌گیر افزار است؟ با استفاده از اطلاعات موجود در دسترس عموم، محققان یک مظنون را به نام Luo پیدا کرده‌اند که یک برنامه‌نویس نرم‌افزار حرفه‌ای است و برنامه‌های کاربردی مانند Assistant Assistant LSY و LSY classic alarm v1.1 را نوشته است.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2018/12/malware-hacker.png’ attachment=’2757′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]
شماره‌حساب QQ، شماره تلفن، شناسه Alipay و شناسه‌های پست الکترونیک این شخص مطابق با اطلاعاتی است که محققان با دنبال کردن حساب WeChat مهاجم جمع‌آوری کرده‌اند.
پس از مطلع شدن از این تهدید، WeChat همچنین حساب مهاجمان در سرویس خود را که برای دریافت پرداخت باج مورداستفاده قرار می‌گرفتند، به حالت تعلیق درآورده است.
محققان Velvet همچنین به سازمان‌های مجری قانون در چین نیز برای تحقیقات بیشتر به همراه تمام اطلاعات دریافتی اطلاع‌رسانی کردند.
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]
[av_content_slider heading=” columns=’1′ animation=’slide’ navigation=’arrows’ autoplay=’false’ interval=’5′ font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=”]
[av_content_slide title=’اسلاید یک’ tags=”]
[av_content_slide title=’اسلاید دو’ tags=”]
[/av_content_slider]