اولین باج افزار جاوا اسکریپت

در میان اخبار متنوعی که در ارتباط با رخنه‌ها، آسیب‌پذیری‌ها و بدافزارها هر روزه منتشر می‌شود، خبر انتشار اولین باج‌افزار جاوااسکریپت حسابی سر و صدای زیادی به پا کرده است. جاوااسکرپیت در جایگاه یکی از محبوب‌ترین فناوری‌های روز دنیای وب، امروزه توسط طیف گسترده‌ای از طراحان وب مورد استفاده قرار می‌گیرد. همین موضوع باعث شده است تا خبر باج‌افزار مبتنی بر جاوا‌اسکرپیت، نگاه‌ها را به سمت خود جلب کند. به‌طوری که گوگل اعلام کرد نزدیک به بیست هزار سایت اینترنتی به این باج‌افزار آلوده شده‌اند.

هم‌چنین گوگل گفته این احتمال وجود دارد که هکرها بعضی از صفحات وب را هک کرده باشند. این اقدام از آن جهت صورت‌گرفته است که کدهای جاوااسکرپیت درون این صفحات، به‌گونه‌ای دستکاری شوند که کاربران را به سمت سایت‌های مخرب سوق دهند. این باج‌افزار جدید که Ransome32 نام دارد، از آن جهت خطرناک است که یک بدافزار چندسکویی است؛ به‌طوری که کاربران پلتفرم‌های ویندوز، مک و لینوکس را در معرض تهدید قرار می‌دهد. Ransome32 به عاملان خود این توانایی را می‌دهد تا به‌سرعت و به‌ساده‌ترین شکل ممکن اقدام به توزیع بدافزار خود کنند. این باج‌افزار مجهز به یک داشبورد است که به هکرها این توانایی را می‌دهد تا آدرس‌های بیت‌کوین متعلق به خود را تعریف کنند تا باج‌های مربوطه به آن آدرس‌ها واریز شوند. داشبورد به‌گونه‌ای طراحی شده است که توانایی ارائه گزارش‌های آماری از میزان بیت‌کوین‌های کسب شده را نیز دارد.

فابین‌وزار (Fabian Wosar) کارشناس امنیتی شرکت Emsisoft برای اولین بار این باج‌افزار را شناسایی کرد. او در این ارتباط گفته است: «گونه جدیدی از خانواده باج‌افزارها را شناسایی کرده است، گونه‌ای که خود را به‌صورت جاسازی شده در آرشیوهای WinRar قرار داده و برای نفوذ به سیستم کاربران، از پلتفرم NW.Js استفاده می‌کنند. در ادامه با استفاده از رمزنگاری 128 بیتی AES فایل‌های روی سیستم قربانی را رمزنگاری کرده و برای آزادسازی آن‌ها مبلغی را درخواست می‌کنند. طراحی این باج‌افزار به‌گونه‌ای است که شناسایی آن کار چندان ساده‌ای نیست». در گذشته NW.Js به‌عنوان Node-WebKit شناخته می‌شد. یک کتابخانه جاوااسکرپیت که برای توسعه برنامه‌ها بر مبنای Node.JS و Chromium  مورد استفاده قرار می‌گرفت. مشکلی که در ارتباط با چهارچوب NW.js وجود دارد این است که رخنه‌های درون این چهارچوب به‌صورت چند سکویی است و هم‌چنین شناسایی آلودگی‌های آن به‌سختی انجام می‌شود؛ اگر به یاد داشته باشید، در مقاله دانش‌نامه باج‌افزارهاگفتیم که گونه‌‌های مختلفی از باج‌افزار CryptoLocker در آینده منتشر خواهند شد. تجزیه و تحلیل‌ها نشان می‌دهند که کدهای این باج‌افزار تا حدی شبیه به CryptoLocker است. یکی از مخوف‌ترین باج‌افزارهای تاریخ که موفق شد میلیون‌ها سیستم را در سراسر جهان آلوده سازد؛ اما این باج‌افزار چگونه کار می‌کند؟ هکرها فایل مخرب را در قالب اعلان‌ها، فاکتورهای پرداخت نشده یا مواردی از این دست به‌گونه‌ای که شک‌برانگیز نباشند را درون ایمیل‌ها قرار داده و برای کاربران ارسال می‌کنند.

زمانی که باج‌افزار نصب و اجرا ‌شد، به سرور کنترل و فرمان‌دهی (C&C) روی یک شبکه غیرقانونی ناشناس متصل می‌شود، در ادامه یادداشت مربوط به باج‌خواهی و آدرس بیت‌کوین مربوطه را به قربانی نشان می‌دهد. در این مرحله فایل‌های روی سیستم قربانی کاملا رمزنگاری شده‌اند و اگر قربانی واقعا به فایل‌های خود نیاز داشته باشد، باید مبلغ باج را پرداخت کند. در زمان نگارش این مقاله، کارشناسان اعلام کرده‌اند که این حمله تنها روی پلتفرم ویندوز شناسایی شده است؛ اما به‌علت مکانیزم چندسکویی بودن Nw.Js این احتمال وجود دارد که کاربران پلتفرم‌های دیگر نیز هر لحظه در معرض این تهدید قرار گیرند؛ اما برای آن‌که از تهدید این بدافزار دور باشید؛ توصیه می‌کنیم تا سعی کنید از سایت‌های ایمن بازدید کنید؛ وصله‌های نرم‌افزاری را به‌طور مرتب دانلود کرده و اطمینان حاصل کنید نرم‌افزار آنتی‌ویروس شما فعال باشد.
در نهایت هیچ‌گاه ضمیمه‌های ایمیلی که از یک منبع ناشناس ارسال شده است را باز نکنید. در زمان نگارش این مقاله هکرها و خریداران در دنیای زیرزمینی دارک‌وب اقدام به خریدوفروش این باج‌افزار می‌کنند. در این معامله‌ دو طرفه مابین باج‌افزارنویس و خریدار، خریدار موظف است 25 درصد از درآمد حاصل از این باج‌افزار را در قالب بیت‌کوین به باج‌افزار‌نویس بپردازد و مابقی بیت‌کوین‌ها را برای خود نگه دارد. تنوع خریداران باعث خواهد شد تا گونه‌های مختلفی از این باج‌افزار تولید شده و به این شکل تعداد بیش‌تری از کاربران فضای مجازی در معرض تهدید این باج‌افزار جاوااسکرپیتی قرار بگیرند.

منبع شبکه