همین حالا دنبال کن:

خبر و تحلیل

انتشار باج‌‌افزار خطرناکی که حتی با پرداخت باج هم فایل‌ها را برنمی‌گرداند!

بازی دو سر باخت در تله باج‌گیران
دستی پولی را در برابر لپ‌تاپی با صفحه قرمز و نماد قفل، برای دریافت کلید از یک دستکش سیاه دراز کرده است که نمادی از باج‌گیری سایبری و تلاش برای بازگردانی فایل‌هاست.
یونس مرادی
زمان مطالعه ۳ دقیقه
بازبینی: شایان ضیایی
صحت سنجی شده

فهرست:

پژوهشگران امنیت سایبری راجع به انتشار یک تهدید جدید و خطرناک به نام VECT 2.0 هشدار داده‌اند که خود را «باج‌افزار» معرفی می‌کند، اما در عمل فایل‌ها را برای همیشه از بین می‌برد. نکته مهم اینجاست که حتی خود مهاجمان هم نمی‌توانند فایل‌ها را بعد از پرداخت باج بازیابی کنند!

این بدافزار برای سه محیط مهم ویندوز، لینوکس و همچنین VMware ESXi (که برای ایجاد و اجرای ماشین‌های مجازی کاربرد دارد) توسعه داده شده. همین سازگاری سراسری باعث می‌شود به یک اندازه برای کاربران عادی، شرکت‌ها، دیتاسنترها و سازمان‌ها خطرناک باشد.

چرا پرداخت باج کاملاً بی‌فایده است؟

باج‌افزارهای معمولی فایل‌ها را قفل می‌کنند و مهاجم کلید رمزگشایی را نزد خود نگه می‌دارد. قربانی در صورت پرداخت باج، «ممکن است» ابزار رمزگشایی را دریافت کند؛ هرچند این اتفاق همیشه تضمین‌شده نیست. ولی VECT 2.0 یک نقص اساسی و عجیب در کدهایش دارد که بازیابی فایل‌های بزرگ‌تر از ۱۳۱ کیلوبایت را از اساس ناممکن می‌کند.

این بدافزار هر فایل بزرگی را به چهار بخش تقسیم و هرکدام را با یک کلید تصادفی ۱۲ بایتی رمزنگاری می‌کند. مشکل اینجاست که تنها کلید بخش چهارم ذخیره می‌شود و سه کلید اول بلافاصله پس از رمزنگاری حذف می‌شوند. بدون این کلیدها حتی خود مهاجم نیز قادر به رمزگشایی فایل‌ها نیست و پرداخت باج فایده‌ای ندارد!

اجرا حتی در حالت Safe Mode

نسخه‌ی ویندوز VECT 2.0 می‌تواند فایل‌ها را روی حافظه‌ محلی، درایوهای قابل‌حمل و مسیرهای شبکه رمزگذاری کند. همچنین برای فرار از تحلیل امنیتی، فهرستی از ۴۴ ابزار امنیتی و دیباگینگ را هدف قرار می‌دهد و از کار می‌اندازد.

یکی از قابلیت‌های خطرناک این بدافزار، اجرای خودکار در حالت Safe Mode است؛ محیطی که بسیاری از سرویس‌های امنیتی ممکن است فعال نباشند. اگر گزینه خاصی در بدافزار فعال شود، سیستم را طوری تنظیم می‌کند که در راه‌اندازی بعدی وارد حالت Safe Mode شود و مسیر فایل اجرایی خود را در رجیستری ویندوز ثبت ‌کند. این کار باعث می‌شود بدافزار حتی در محیط محدود Safe Mode هم به اجرا درآید.

تجارتی کثیف و ناشیانه

این گروه سایبری برای گسترش حملاتش شبکه‌ای تشکیل داده و از هکرهای دیگر برای ورود به این شبکه مبلغ ۲۵۰ دلار حق عضویت دریافت می‌کند. با این حال کارشناسان امنیتی معتقدند سازندگان این بدافزار افرادی تازه‌کار هستند و حتی احتمال دارد بخش‌هایی از این کد معیوب را به کمک ابزارهای هوش مصنوعی تولید کرده باشند.

در آخر: برای حفظ امنیت چه باید کرد؟

با توجه به اینکه مذاکره با هکرها و پرداخت پول در این نوع حمله کمکی به شما نمی‌کند، کاربران و مدیران شبکه باید روی پیشگیری تمرکز کنند:

  • از داده‌های مهم نسخه پشتیبان آفلاین، ایزوله یا غیرقابل‌دستکاری تهیه کنید؛
  • فرایند بازیابی بکاپ را به‌صورت دوره‌ای آزمایش کنید؛
  • دسترسی کاربران به پوشه‌های شبکه را محدود نگه دارید؛
  • دسترسی SSH و RDP را فقط برای افراد ضروری فعال باشد؛
  • سیستم‌عامل‌های لینوکس و ویندوز و هایپروایزر ماشین مجازی را مرتب به‌روزرسانی کنید.

برای اطمینان بیشتر ورودهای مشکوک یا جابه‌جایی غیرعادی فایل‌ها در شبکه را همیشه زیر نظر داشته باشید.

بازبینی: شایان ضیایی

پست‌های مرتبط

نوشدارو را دنبال کنید

اینستاگرام

تلگرام

واتساپ

ویدیوهای نوشدارو

ویدیو های بیشتر

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
بازگشت به بالای صفحه
×

منابع

  1. The Hacker News
    https://thehackernews.com/2026/04/vect-20-ransomware-irreversibly.html?m=1