+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: باج افزار Tyrant با زمینه فارسی در فضای سایبری ایران (/showthread.php?tid=3674)
باج افزار Tyrant با زمینه فارسی در فضای سایبری ایران - mesterweb - ۹۶/۷/۲۶
به تازگی باج افزار Tyrant با صفحه باجخواهی به زبان فارسی در فضای سایبری ایران منتشر شده است.
![[تصویر: do.php?img=3829]](http://romaak.ir/up/do.php?img=3829)
باج افزاری به نام Tyrant با الهام گرفتن از یک باج افزار متن باز در فضای سایبری ایران منتشر شده است. این باج افزار از صفحه باج خواهی به زبان فارسی استفاده میکند و به طبع برای هدف قرار دادن کاربران ایرانی طراحی شده است. باج افزار Tyrant در محیط سیستم عامل های ویندوزی عمل میکند و در حال حاضر تنها نیمی از آنتی ویروسهای معتبر قادر به شناسایی آن هستند.
این بدافزار با قفل کردن دسترسی به سامانهها و رمزگذاری فایلهای سیستم، 15 دلار به شکل ارز الکترونیکی از قربانی باجخواهی میکند. باج خواهان برای این کار از بستر غیر قابل پیگیری تلگرام (@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای ارتباط برقرار کردن با قربانی و دریافت باج استفاده میکنند.
این باج افزار با استفاده از پوشش فیلترشکن سایفون منتشر میشود و از طریق شبکه های اجتماعی با فریب دادن کاربران، آنها را به دریافت و اجرای فایلی اجرایی با ظاهر سایفون تشویق میکند که در حقیقت حاوی بدافزار است. با توجه به ماهیت حمله، احتمال استفاده از سایر شیوهها مرسوم برای توزیع بدافزار مذکور از جمله پیوست ایمیل، انتشار از طریق وبسایت آلوده یا RDP حفاظت نشده نیز وجود دارد.
باج افزار Tyrant از روش انتقال باج Web Money استفاده میکند و سازندگان، فرصت 24 ساعته را برای پرداخت باج توسط قربانیان در نظر گرفتهاند. همچنین به منظور راهنمایی کردن قربانی، آدرس تعدادی از وبسایتهای فارسی ارائهدهنده این نوع از ارز الکترونیکی توسط باج افزار معرفی میشوند.
بر اساس تحلیلهای اولیه، به احتمال زیاد این میتواند نسخه اولیه یا آزمایشی از یک حمله بزرگتر باشد. چون با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایلها، گاهی اوقات باج افزار موفق به رمزگذاری فایلهای قربانی نمیشود و با ایجاد تغییرات زیاد در رجیستری سیستم کاربر هم نمیتواند قابلیت اجرا در زمان پس از ریستارت کردن سیستم را حفظ کند. به این ترتیب به نظر نمیرسد تا به الان خسارت زیادی از جانب باج افزار Tyrant ایجاد شده باشد.
![[تصویر: do.php?img=3830]](http://romaak.ir/up/do.php?img=3830)
راهکارهای پیشگیری از حمله باج افزار Tyrant
1. از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک خودداری کنید.
2. از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها پرهیز کنید.
3. سیستم عامل و آنتی ویروس سیستم خود را دایما بهروزرسانی کنید.
4. تا جای ممکن از دسترسی راه دور استفاده نکنید و در صورت عدم امکان حذف دسترسی راه دور، تمهیدات امنیتی را به طور دقیق رعایت کنید.
5. از مجوز دسترسی Administrator بر روی سیستمهای کاربران سازمان استفاده نکنید.
باج افزاری به نام Tyrant با الهام گرفتن از یک باج افزار متن باز در فضای سایبری ایران منتشر شده است. این باج افزار از صفحه باج خواهی به زبان فارسی استفاده میکند و به طبع برای هدف قرار دادن کاربران ایرانی طراحی شده است. باج افزار Tyrant در محیط سیستم عامل های ویندوزی عمل میکند و در حال حاضر تنها نیمی از آنتی ویروسهای معتبر قادر به شناسایی آن هستند.
این بدافزار با قفل کردن دسترسی به سامانهها و رمزگذاری فایلهای سیستم، 15 دلار به شکل ارز الکترونیکی از قربانی باجخواهی میکند. باج خواهان برای این کار از بستر غیر قابل پیگیری تلگرام (@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای ارتباط برقرار کردن با قربانی و دریافت باج استفاده میکنند.
این باج افزار با استفاده از پوشش فیلترشکن سایفون منتشر میشود و از طریق شبکه های اجتماعی با فریب دادن کاربران، آنها را به دریافت و اجرای فایلی اجرایی با ظاهر سایفون تشویق میکند که در حقیقت حاوی بدافزار است. با توجه به ماهیت حمله، احتمال استفاده از سایر شیوهها مرسوم برای توزیع بدافزار مذکور از جمله پیوست ایمیل، انتشار از طریق وبسایت آلوده یا RDP حفاظت نشده نیز وجود دارد.
باج افزار Tyrant از روش انتقال باج Web Money استفاده میکند و سازندگان، فرصت 24 ساعته را برای پرداخت باج توسط قربانیان در نظر گرفتهاند. همچنین به منظور راهنمایی کردن قربانی، آدرس تعدادی از وبسایتهای فارسی ارائهدهنده این نوع از ارز الکترونیکی توسط باج افزار معرفی میشوند.
بر اساس تحلیلهای اولیه، به احتمال زیاد این میتواند نسخه اولیه یا آزمایشی از یک حمله بزرگتر باشد. چون با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایلها، گاهی اوقات باج افزار موفق به رمزگذاری فایلهای قربانی نمیشود و با ایجاد تغییرات زیاد در رجیستری سیستم کاربر هم نمیتواند قابلیت اجرا در زمان پس از ریستارت کردن سیستم را حفظ کند. به این ترتیب به نظر نمیرسد تا به الان خسارت زیادی از جانب باج افزار Tyrant ایجاد شده باشد.
راهکارهای پیشگیری از حمله باج افزار Tyrant
1. از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک خودداری کنید.
2. از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها پرهیز کنید.
3. سیستم عامل و آنتی ویروس سیستم خود را دایما بهروزرسانی کنید.
4. تا جای ممکن از دسترسی راه دور استفاده نکنید و در صورت عدم امکان حذف دسترسی راه دور، تمهیدات امنیتی را به طور دقیق رعایت کنید.
5. از مجوز دسترسی Administrator بر روی سیستمهای کاربران سازمان استفاده نکنید.
RE: باج افزار Tyrant با زمینه فارسی در فضای سایبری ایران - afshin21 - ۹۶/۸/۷
توضیحات اضافی ( با اجازه نویسنده محترم)
این باجافزار که Tyrant نام دارد، برای اولین بار در تاریخ ۱۶ اکتبر توسط محقق امنیتی شرکت جی دیتا کشف شد. تایرنت در پوشش نرمافزار تغییر آیپی سایفون سعی در فریب کاربران بهمنظور نصب آن دارد و بعد از نصب، از کاربر باجگیری میکند.
همانطور که در تصاویر بالا مشاهده میکنید، تایرنت به زبان فارسی پیغام زیر را برای کاربر به نمایش درمیآورد:
اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باجافزار تایرنت آلوده شده و تمام فایلها، پوشهها و درایوهای سیستم شما درگیر و توسط الگوریتمهای بسیار پیچیده (ایبیاسآی و ایایاس) رمزنگاری و کلید رمزگشایی فایلهای شما بهصورت خودکار برای ما ارسال شده است.
اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باجافزار تایرنت آلوده شده و تمام فایلها، پوشهها و درایوهای سیستم شما درگیر و توسط الگوریتمهای بسیار پیچیده (ایبیاسآی و ایایاس) رمزنگاری و کلید رمزگشایی فایلهای شما بهصورت خودکار برای ما ارسال شده است.
این بدافزار ابتدا دسترسی کاربر را از سیستم قطع و سپس اقدام به رمزگذاری فایلهای وی میکند، در نهایت برای پرداخت ۱۵ دلار، ۲۴ ساعت به کاربر مهلت میدهد و از آنجایی که صفحه به زبان فارسی است، تنها کاربران ایرانی قربانی آن هستند. این باجافزار دو درگاه exchanging.ir و webmoney724.ir را برای پرداخت باج به کاربران پیشنهاد میدهد. علاوه بر این، تایرنت دو راه ارتباطی ایمیل و آیدی تلگرام را در دسترس کاربران قرار داده است. البته این نکته بهوضوح قابل درک است که سازندهی این باجافزار از قابلیت ردگیری آیدی تلگرام و کشف شماره مرتبط با آیدی بیخبر بوده است و در غیر این صورت، هرگز این راه ارتباطی را در دسترس همگان قرار نمیداد، چراکه امکان ردیابی به این شکل بسیار بالا است. (تابستان سال گذشته گروهی موسوم به Rocket Kittens با استفاده از یک آسیبپذیری توانستند به ارتباط بین آیدی کاربران تلگرام و شمارههای آنها دست یابند که این کار پیدا کردن شماره با داشتن آیدی تلگرام را میسر میساخت.)
تایرنت مبتنی بر باجافزار DUMB است که پیشتر کاربران ترکزبان را هدف قرار داده بود. نسخهی اولیهی باجافزار دامپ از کدنویسی ضعیفی برخوردار بود که پس از بسته شدن صفحهی باجافزار توسط کاربر، فایل رمزگذاری شده، بهصورت خودکار کدگشایی میشد. باجافزار دامپ مبتنی بر کد اثبات مفهوم یا proof-of-concept است که در پایگاه گیتهاب نیز منتشر شده است. تایرنت مبتنی بر سیستمعامل ویندوز است و تقریبا نیمی از آنتیویروسها قادر به شناسایی آن هستند.
بر اساس تحقیقات کارشناس امنیتی MalwareHunter ، از آنجایی که باجافزار تایرنت به فارسی ترجمه شده، نسبت به فایل اصلی شامل تغییراتی است که رمزگشایی آن را آسان میکند. این نسخه مقدمهای برای یک حملهی بزرگ است؛ چراکه این نسخه از ضعفهایی مثل رمزگذاری ضعیف، عدم موفقیت در رمزگذاری فایلهای کاربر و موفق نبودن عملکرد آن پس از ریبوت سیستم توسط کاربر برخوردار است. با این وجود به نظر نمیرسد که تاکنون از محل این باجافزار خسارت قابل توجهی ایجاد شده باشد.
با توجه به ماهیت حمله، استفاده از دیگر روشهای مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظتنشده نیز محتمل است. امروزه استفاده از اتصالات RDP افزایش یافته که خطر نصب باجافزار در سیستم کاربران را به دنبال دارد؛ از اینرو بسیاری از باجافزارها از ارتباط RDP برای آلوده کردن سیستم کاربران استفاده میکنند.