محمد بختیاری

کلید اصلی رمزگشایی الگوریتم باج‌افزار FilesLocker منتشر شد

به‌تازگی مطلبی در Pastebin منتشر شده است که حاوی کلید اصلی رمزگشایی باج‌افزار معروف FilesLocker است. این موضوع که به مناسبت فرا رسیدن سال نو میلادی منتشر شده است، توانایی نوشتن ابزاری را جهت بازگرداندن فایل‌های رمزنگاری‌شده به‌وسیله‌ی این باج‌افزار فراهم می‌آورد.

مقاله‌های مرتبط:

هفته‌ی گذشته تیم MalwareHunterTeam نسخه‌ای از باج‌افزار FilesLocker را کشف کردند که به نسخه‌ی Christmas Edition معروف شد. این باج‌افزار علاوه‌بر قابلیت‌های موجود در نسخه‌های قبلی که عملکردهایی همچون رمزنگاری فایل‌های خاص و نمایش توضیحاتی مبنی‌بر چگونگی ارسال پول برای هکر را داشت، در نسخه‌ی جدید عکس پس‌زمینه دسکتاپ قربانیان با یک عکس تبریک سال نو میلادی تعویض می‌‌کند و درکنار پیام تبریک سال نو میلادی، خبر از دست رفتن فایل‌ها را به قربانیان می‌دهد!

اما جالب اینجا است که در این نسخه، بعد از عملیات رمزنگاری فایل‌های مد نظر در سیستم قربانی، مرورگر پیش‌فرض سیستم به‌طور خودکار باز می‎شود و قربانی را به آدرسی در سایت Pastebin هدایت می‌کند که شامل توضیحاتی به زبان چینی، همراه‌با کلید اصلی رمزگشایی الگوریتم RSA به‌کاررفته در این باج‌افزار است. براساس توضیحات نوشته‌شده در این آدرس، کلید رمزگشایی منتشرشده برای هر دو نسخه اول و دوم این باج‌افزار پاسخگو است.

fileslocker_masterkey

تصویر مطلب منتشرشده در Pastebin

کاربرانی که فایل‌هایشان توسط این باج‌افزار رمزنگاری شده، می‌توانند با کلید رمزگشایی منتشرشده، فایل‌های خود را بازیابی کنند

میشل گیلسپی، محقق امنیت سایبری، از تیم Malware Hunter در حساب کاربری توئیتر خود اعلام کرد که ابزار Decryptor را با استفاده از کلید رمزگشایی منتشرشده آماده خواهند کرد؛ این ابزار، فایل‌هایی با پسوند [fileslocker@pm.me] را که توسط نسخه‌های اول و دوم این باج‌افزار رمز شده‌اند، رمزگشایی می‌کند؛ البته برای این کار، باید دسترسی به فایل note ساخته‌شده توسط باج‌افزار روی سیستم قربانی فراهم باشد.

برای محققان امنیت سایبری قابل درک نیست که چرا توسعه‌دهندگان این باج‌افزار کلید اصلی رمزگشایی را منتشر کرده‌اند، درحالی‌که نسخه جدید آن را برای سال نو میلادی آماده کرده بودند. اما از جمله‌ی انتهایی پیغام آن‌ها که عبارت «The end is just the beginning» نوشته شده است، می‌توان احتمال داد که به‌دنبال تهیه نسخه‌ی جدیدتری از این باج‌افزار هستند.

پاسخی بنویسید