حتما شما هم تابحال اصطلاح راخنی را شنیدهاید و با سوالاتی از این دست که راخنی چیست؟ چگونه کار میکند و چه خطراتی برای ما دارد؟ دست و پنجه نرم میکنید.
ما در این مقاله قصد داریم تا بطور جامع شما را با چگونگی عملکرد و نحوهی جلوگیری از این باجافزار، آشنا کنیم.
اما در صورت عدم آشنایی شما با دنیای ارزهای دیجیتال شاید بهتر باشد که در ابتدا برای روشنتر شدن این حوزه کمی در مورد ماهیت ارزهای دیجیتال و چگونگی استفاده از آنها مقالهی معرفی جامع کریپتوجکینگ ما را در این راستا مطالعه بفرمایید.
فهرست مطالب
راخنی Rakhni چیست؟
راخنی (Rakhni) یک تروجان یا باجافزار پرخطر است که با استفاده از ایمیلهای اسپم توزیع میشود.
کاربران ایمیلی، حاوی پیامی (به زبان روسی) دریافت میکنند که آنها را تشویق می کند تا فایل PDF پیوست را باز کنند.
این فایل تحتعنوان act of reconciliation یا “اقدام آشتی” ارائه میشود. در واقع، این PDF یک فایل اجرایی مخرب است که در زبان برنامهنویسی دلفی نوشته میشود. کاربر پس از باز شدن فایل باجافزار، راخنی را دانلود و نصب می کند.
تحقیقات نشان میدهد که اکثر دستگاههای آلوده به این باجافزار در روسیه قرار دارند.
البته به دلیل متن روسی ایمیل احتمالا کاربران غیر روسی زبان این ایمیلها را بدون باز کردن پیوستها حذف میکنند و تنها روس زبانها در دام آنها گرفتار میشوند.
نحوهی عملکرد راخنی
راخنی یک ویروس پیشرفته است. در ابتدا فایل مخرب قبل از آلوده کردن سیستم اقدامات مختلفی انجام خواهد داد:
1) نمایش پیغام خطا:
ابتدا یک پیغام خطا با این مضمون نشان میدهد که: پلاگین Adobe Reader پیدا نشده است و به همین دلیل فایل PDF باز نمیشود. این پیام کاربران را فریب میدهد تا تصور کنند که پیوست به سادگی شکسته شده است، اما اصلا اینطور نیست.
2) تصمیمگیری:
پس از نمایش پاپ آپ، دانلود کننده بررسی میکند که آیا سیستم عامل روی virtual machine یا ماشین مجازی اجرا میشود یا خیر. در این صورت، فرآیند حمله فوراً خاتمه مییابد.
اگر آزمایش موفقیتآمیز باشد، دانلود کننده بین 2 گزینه تصمیم میگیرد: 1) ماینر ارز دیجیتال نصب کند 2) و یا یک رمزگذار فایل قرار دهد.
3) بررسی تعداد پردازندههای منطقی:
برای رسیدن به این هدف، فایل اجرایی “%AppData%\Bitcoin” را جستجو میکند. سپس بررسی میکند که چند پردازندهی منطقی وجود دارد (تعداد پردازندههای منطقی را میتوان با ضرب تعداد هستهها در تعداد رشتههای هر هسته تعیین کرد؛ بهعنوان مثال، اگر شما در حال اجرای یک پردازنده دو هستهای با 2 رشته، در هر هسته میباشید، شما 4 پردازنده منطقی خواهید داشت).
4) نصب ماینر ارز دیجیتال یا بدافزار رمزگذاری فایل:
اگر folder وجود نداشته باشد و بیش از 2 پردازنده منطقی وجود داشته باشد، یک ماینر ارز دیجیتال نصب میشود. اگر یک یا چند مورد از این شرایط برآورده شود، بدافزار رمزگذاری فایل نفوذ میکند.
علاوه بر این، دانلود کننده لیست فرآیندهای در حال اجرا را بررسی میکند تا مشخص کند که آیا نرمافزارهای ضد آنتیویروس در حال اجرا هستند یا خیر.
در غیر این صورت، دانلود کننده کدهایی را برای غیرفعال کردن Microsoft Windows Defender اجرا میکند.
این کدهای مخرب اطلاعات مختلفی (مانند: آدرس IP، نام کامپیوتر، لیست فرآیندهای در حال اجرا، اسکرینشات و غیره) را به یک سرور راه دور که توسط توسعهدهندگان راخنی Rakhni کنترل میشود، ارسال میکنند.
5) ایجاد یک فولدر یا پوشه:
دانلودر یک پوشه تحتعنوان “%AppData%\KB[8_random_characters]” ایجاد میکند و ماینر را درون آن قرار میدهد.
سپس یک اسکریپت VBS تولید و پس از بوت شدن آن برنامهی بعدی اجرا میشود. این اسکریپت دو دستور را که شامل دو فرآیند مختلف برای استخراج ارزهای دیجیتال Monero (XMR) و Monero Original (XMO) هستند، اجرا میکند.
اگر پوشه فوق حاوی یک فایل اجرایی به نام “svchost.exe” باشد، جهت استخراج ارز دیجیتال Dashcoin از آن استفاده میشود.
توجه داشته باشید که “svchost.exe” در واقع یک فرآیند واقعی در سیستمعامل ویندوز است، با این حال، مجرمان سایبری از این نام برای پنهان کردن cryptominers استفاده میکنند.
6) استفاده از الگوریتم رمزگذاری فایلها به نام RSA-1024:
رمزگذار راخنی کاملاً متفاوت عمل میکند. این ویروس برای رمزگذاری بیشتر دادههای ذخیره شده از رمزنگاری RSA-1024 استفاده میکند. با انجام این کار، این بدافزار نام فایلها را با پسوندی مانند “neitrino” همراه میکند (بهعنوان مثال، “sample.jpg” به نام “sample.jpg.neitrino” تغییر داده میشود).
دادههایی که در معرض خطر هستند بلافاصله غیرقابل استفاده میشوند.
RSA-1024 یک الگوریتم رمزگذاری نامتقارن است که کلیدهای عمومی (رمزگذاری) و خصوصی (رمزگشایی) را برای هر قربانی تولید میکند. رمزگشایی بدون کلید خصوصی غیرممکن است و مجرمان سایبری همه کلیدها را در یک سرور راه دور مخفی میکنند و برای آزاد کردن آنها باج میگیرند.
7) ارسال ایمیل به کاربرانی که قربانی شدهاند:
پس از تکمیل رمزگذاری، Rakhni یک فایل متنی (“MESSAGE.txt“) تولید میکند و یک کپی از این فایل در تمامی فولدرها، قرار میدهد.
همچنین این فایل متنی حاوی یک پیام روسی مبنی بر این است که دادههای ما رمزگذاری شدهاند و قربانیان باید برای رمزگشایی از آنها هزینهی قابلتوجهی بپردازند. برای دستیابی به این هدف، قربانیان باید از طریق آدرس ایمیل ارائه شده با توسعهدهندگان راخنی تماس بگیرند.
مبلغ یا میزان این باج مشخص نشده است. اما، در بیشتر موارد توسعه دهندگان باج افزار 500 الی 1500 دلار بهصورت بیتکوین یا ارز دیجیتال دیگری درخواست میکنند. کاربران هرگز نباید این مبلغ را پرداخت کنند.
تحقیقات نشان میدهد که مجرمان سایبری اغلب قربانیان را پس از ارسال پرداختها نادیده میگیرند. پرداخت هیچ نتیجه مثبتی ندارد و آنها تنها از شما کلاهبرداری میکنند.
چگونه باجافزار راخنی کامپیوتر ما را آلوده میکند؟
همان طور که در بالا ذکر شد، راخنی با استفاده از ایمیلهای حاوی یک پیوست مخرب (یک فایل اجرایی مخرب که بهعنوان یک سند PDF پنهان میشوند) تکثیر میشود.
مجرمان سایبری ایمیلهایی با پیامهای قانع کننده به کاربران ارسال میکنند تا آنها را فریب دهند که پیوستهای مخرب را باز کنند.
این روش در بین توسعهدهندگان باج افزار بسیار رایج است. با این حال، این ویروسها اغلب با استفاده از:
- شبکههای P2P (مثل: torrents, eMule و غیره)،
- منابع دانلود نرمافزار غیررسمی (وبسایتهای دانلود رایگان، سایتهای هاستینگ رایگان و غیره)،
- نرمافزارهای جعلی، تکثیر میشوند.
بهروزرسانیها و تروجانهای شبکه P2P و سایر منابع دانلود شخص ثالث، فایلهای اجرایی مخرب را بهعنوان نرمافزار قانونی معرفی میکنند.
بنابراین، کاربران فریب میخورند و در نهایت ویروسها را دانلود و نصب میکنند.
بهروزرسانیهای این نرمافزارهای جعلی، بهجای آپدیت به بهرهبرداری از باگها و نقصهای نرمافزار قدیمی میپردازند. تروجانها اساساً برای ایجاد ویروسهای زنجیرهای طراحی شدهاند. آنها درهای پشتی را برای نفوذ سایر ویروسها نیز به سیستم باز میکنند.
بهنوعی، راخنی بهعنوان یک تروجان عمل میکند (دانلود کننده به سیستم نفوذ میکند و بدافزارهای دیگر را تزریق میکند). در نهایت دلیل اصلی آلودگی کامپیوتری عدم آگاهی و رفتار بیدقت بسیاری از کاربران است.
راهکارهای محافظت از خود در برابر راخنی
کلید ایمنی شما، احتیاط است. بنابراین، هنگام مرور در اینترنت به چیزهایی که دانلود میکنید، بهروزرسانیهایی که دریافت میکنید و نرمافزارهایی که نصب میکنید، توجه داشته باشید.
- هر پیوست موجود در ایمیل را تجزیه و تحلیل کنید. فایلهایی که نامربوط به نظر میرسند و از آدرسهای ایمیل مشکوک دریافت شدهاند، باز نکنید.
- علاوه بر این، برنامههای خود را فقط از منابع رسمی دانلود کنید (از طریق لینکهای دانلود مستقیم). این ابزارها برای تکثیر برنامههای مخرب استفاده میشوند، بنابراین هرگز نباید از آنها استفاده کرد.
- برنامههای نصب شده خود را بهروز نگه دارید. این امر تنها از طریق ابزارهایی که توسط توسعهدهندهی رسمی برنامه ارائه میشود، محقق میگردد.
- اگر رایانه شما قبلاً به Rakhni آلوده شده است. توصیه میکنیم یک اسکن با Combo Cleaner Antivirus برای ویندوز اجرا کنید تا این باجافزار بهطور خودکار حذف شود.
- کارکنان امنیت اطلاعات خود را آموزش دهید و بهطور منظم دانش آنها را بررسی کنید.
- یک نسخه پشتیبان از دادههای حساس در یک برنامه ذخیرهسازی جداگانه تهیه کنید.
- نصب و اجرای یک مجموعه قانونی ضدویروس نیز بسیار مهم است.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
اقدامات ضروری که باید پس از آلوده شدن توسط راخنی انجام دهیم
تا به اینجای کار با باجافزار راخنی، نحوهی عملکرد آن و چگونگی محافظت از خود در برابر آن نیز آشنا شدیم. اما سوال اصلی این است که در صورت آلوده شدن کامپیوتر چگونه میتوان این باجافزار را برطرف و از ادامهی این سواستفاده جلوگیری کرد؟ در ادامه به این سوال پاسخ خواهیم داد:
مراحل حذف راخنی:
3) جستجوی ابزارهای رمزگشایی باجافزار
4) بازیابی فایلها با ابزارهای بازیابی اطلاعات
5) ایجاد نسخه پشتیبان از دادهها
1) جداسازی دستگاه آلوده:
برخی از باجافزارها برای؛ رمزگذاری فایلها در دستگاههای ذخیرهسازی خارجی، آلوده کردن آنها و حتی انتشار آلودگی در کل شبکهی محلی طراحی شدهاند. به همین دلیل، جداسازی دستگاه (کامپیوتر) آلوده در اسرع وقت بسیار مهم است. برای جداسازی کامپیوتر چندین مرحله وجود دارد که در ادامه توضیح خواهیم داد:
مرحله اول: اتصال به اینترنت را قطع کنید:
سادهترین راه برای جدا کردن رایانه از اینترنت، جدا کردن کابل Ethernet اترنت از مادربرد است.
البته، برخی از کامپیوترها بهصورت بیسیم متصل میشوند و برای برخی از کاربران (مخصوصاً آنهایی که به فناوری علاقه خاصی ندارند)، ممکن است قطع کردن کابلها به نظر دردساز و سخت باشد. شما همچنین میتوانید سیستم را بهصورت دستی از طریق کنترل پنل قطع کنید:
به “Control Panel” بروید، روی نوار جستجو در گوشه سمت راست بالای صفحه کلیک کنید، “Network and Sharing Center” را وارد کنید و نتیجه جستجو را انتخاب کنید:
روی گزینه “Change adapter settings” یا تغییر تنظیمات آداپتور در گوشه سمت چپ بالای پنجره کلیک کنید:
روی هر نقطه اتصال راست کلیک کرده و “Disable” را انتخاب کنید. پس از غیرفعال شدن این موارد، سیستم شما دیگر به اینترنت متصل نخواهد شد. برای فعال کردن مجدد نقاط اتصال، کافی است دوباره کلیک راست کرده و “Enable” را انتخاب کنید.
مرحله دوم: تمام دستگاههای ذخیرهسازی را از برق بکشید:
همان طور که در بالا ذکر شد، باجافزار ممکن است که دادهها را رمزگذاری کند و به تمام دستگاههای ذخیرهسازی متصل به رایانه نفوذ پیدا کند. به همین دلیل، تمام دستگاههای ذخیرهسازی خارجی (درایوهای فلش، هارد دیسکهای قابل حمل و غیره) باید فوراً قطع شوند.
توصیه میکنیم که برای جلوگیری از خراب شدن دادهها قبل از قطع اتصال، هر دستگاه یا device آن را خارج کنید:
به “My Computer” بروید، روی هر دستگاه متصل راست کلیک کرده و “Eject” را انتخاب کنید:
مرحله سوم: خروج از حسابهای ذخیرهسازی ابری:
برخی از باجافزارها ممکن است بتوانند نرمافزارهایی را که مدیریت دادههای ذخیره شده در ابر یا “the Cloud” را بر عهده دارند، هک کنند.
بنابراین، دادهها ممکن است دستکاری یا خراب و رمزگذاری شوند. به همین دلیل، باید از تمام حسابهای ذخیرهسازی ابری در مرورگرها و سایر نرمافزارهای مرتبط خارج شوید.
همچنین باید بهطور موقت نرمافزار مدیریت ابری را تا زمانی که ویروس بهطور کامل از بین رود، حذف کنید.
2) شناسایی ویروس باجافزار:
برای مدیریت صحیح ویروس، ابتدا باید آن را شناسایی کرد. برخی از ویروسهای باجافزار از پیامهای باجخواهی بهعنوان مقدمه استفاده میکنند (فایل متنی باجافزار WALDO را در زیر ببینید).
راه دیگر برای شناسایی ویروس باجافزارها بررسی پسوند فایلهایی است که به هر فایل رمزگذاری شده اضافه میشوند. ویروسهای باجافزار اغلب با پسوندهایی که بههمراه دارند نامگذاری میشوند.
با این حال، این روش تنها زمانی مؤثر است که پسوند ضمیمه شده منحصربهفرد باشد. بسیاری از ویروسهای باجافزار یک برنامه افزودنی عمومی اضافه میکنند (بهعنوان مثال، “_readme.txt” “DECRYPTION_INSTRUCTIONS.txt” و غیره). در این حالت شناسایی باجافزار توسط پسوند ضمیمهی آن غیرممکن میشود.
یکی از سادهترین و سریعترین راهها برای شناسایی ویروس باجافزار، استفاده از وبسایت ID Ransomware website است. این سرویس از اکثر ویروسهای باج افزار موجود پشتیبانی میکند. کاربران بهسادگی یک پیام باجخواهی یا یک فایل رمزگذاری شده را آپلود میکنند (به شما توصیه میکنیم در صورت امکان هر دو را آپلود کنید).
باجافزار در عرض چند ثانیه شناسایی میشود و جزئیات مختلفی از جمله:
- نامخانوادهی بدافزاری که آلودگی به آن تعلق دارد،
- قابلیت رمزگشایی و غیره در اختیار شما قرار میگیرد.
3) جستجوی ابزارهای رمزگشایی باجافزار:
الگوریتمهای رمزگذاری که توسط اکثر ویروسهای باجافزارها استفاده میشوند، بسیار پیچیده هستند و اگر فرایند رمزگذاری بهدرستی انجام شود، تنها توسعهدهندگان قادر به بازیابی دادهها میباشند.
به این دلیل که رمزگشایی تنها به یک کلید خاص نیاز دارد که در طول فرایند رمزگذاری ایجاد میشود. بازیابی اطلاعات بدون کلید غیرممکن است. در بیشتر موارد، مجرمان سایبری بهجای استفاده از دستگاه آلوده بهعنوان میزبان، کلیدها را در یک سرور راه دور ذخیره میکنند.
بنابراین، همیشه برای هر باجافزاری که به رایانه شما نفوذ میکند ابزارهای رمزگشایی موجود را ، بررسی کنید.
وبسایت No More Ransom Project شامل بخش “Decryption Tools” یا ابزارهای رمزگشایی است. نام باجافزار شناساییشده را سرچ کنید سپس تمام رمزگشاهای موجود (در صورت وجود) فهرست میشوند.
4) بازیابی فایلها با ابزارهای بازیابی اطلاعات:
باتوجه به موقعیت (کیفیت آلودگی باجافزار، نوع الگوریتم رمزگذاری مورد استفاده و غیره)، ممکن است که بازیابی دادهها بهوسیلهی ابزارهای شخص ثالث امکانپذیر باشد.
بنابراین، توصیه میکنیم که از ابزار Recuva که توسط CCleaner تولید شدهاند، استفاده کنید. این ابزار بیش از هزار نوع داده (مانند: گرافیک، ویدئو، صدا، اسناد و غیره) را پشتیبانی میکند. علاوه بر این، کاملا رایگان است.
5) ایجاد نسخه پشتیبان از دادهها:
مدیریت صحیح فایلها و ایجاد نسخه پشتیبان برای امنیت دادهها ضروری است.در پایین هرکدام از این دو مورد را بهطور کامل توضیح میدهیم:
مدیریت پارتیشن:
توصیه میکنیم اطلاعات خود را در چند پارتیشن ذخیره کنید و از ذخیره فایلهای مهم در پارتیشنی که کل سیستمعامل در آن میباشد، خودداری کنید.
اگر در شرایطی قرار بگیرید که نتوانید سیستم را بوت کنید، در نهایت مجبور میشوید دیسکی را که سیستمعامل روی آن نصب هست، فرمت کنید. در این حالت تمام دادههای ذخیرهشده در آن درایو را از دست خواهید داد.
ایجاد پارتیشنهای متعدد و تخصیص صحیح دادهها به شما این امکان را میدهد از چنین مشکلاتی جلوگیری کنید. شما بهراحتی میتوانید یک پارتیشن واحد را بدون تأثیر بر سایرین قالببندی یا چارچوببندی کنید.
مدیریت پارتیشنها بسیار ساده است و میتوانید تمام اطلاعات لازم را در صفحه وب Microsoft’s documentation web page مستندات مایکروسافت پیدا کنید.
پشتیبانگیری از دادهها:
یکی از مطمئنترین روشهای پشتیبانگیری استفاده از یک دستگاه ذخیرهسازی خارجی است.
دادههای خود را روی هارد اکسترنال، درایو فلش SSD، HDD یا هر وسیله ذخیرهسازی دیگری کپی کنید و آن را در مکانی خشک و دور از نور خورشید و دمای بالا نگهدارید (با این حال، این روش خیلی کارآمد نیست، زیرا میبایست پشتیبانگیری و بهروزرسانی دادهها بهطور پیوسته و منظم انجام شود).
همچین میتوانید از سرویس ابری یا سرور راه دور استفاده کنید. که نیازمند اتصال دائمی به اینترنت است.
توصیهی ما این است که از Microsoft OneDrive برای پشتیبانگیری از فایلهای خود استفاده کنید.
OneDrive به شما امکان:
- ذخیرهی فایلها و دادههای شخصی خود را در فضای ابری میدهد،
- فایلها را در رایانهها و دستگاههای تلفن همراه همگامسازی میکند،
- و شما میتواند با تمام سیستمهای ویندوزی خود به فایلهایتان دسترسی داشته باشید و آنها را ویرایش کنید.
- همچنین امکان ذخیره، اشتراکگذاری و پیشنمایش فایلها، دسترسی به تاریخچه دانلود، انتقال، حذف و تغییر نام فایلها و همچنین ایجاد پوشههای جدید و بسیاری موارد دیگر را به کاربران میدهد.
میتوانید از مهمترین پوشهها و فایلهای خود در رایانه شخصی (دسکتاپ، پوشههای اسناد و تصاویر) نسخه پشتیبان تهیه کنید.
برخی از ویژگیهای قابل توجهتر OneDrive شامل نسخهسازی فایل است که نسخههای قدیمیتر فایلها را تا 30 روز نگه میدارد.
OneDrive دارای یک سطل بازیافت است که تمام فایلهای حذف شده شما برای مدت محدودی در آن ذخیره میشوند.
این سرویس با استفاده از فناوریهای HTML5 ساخته شده است و به شما این امکان را میدهد که: فایلهای تا 300 مگابایت را از طریق کشیدن و رها کردن در مرورگر وب یا تا 10 گیگابایت از طریق برنامه دسکتاپ OneDrive، آپلود کنید.
با OneDrive، میتوانید کل پوشهها را بهصورت یک فایل ZIP با حداکثر 10000 فایل دانلود کنید.
جمعبندی:
اگرچه راخنی بدافزار پیچیدهای است، اما میتوان آن را با تعدادی دیگر از ویروسهای باجافزار مانند RaRansomware، KyMERA، ANIMUS و بسیاری دیگر مقایسه کرد.
اما همواره باید در جهت جلوگیری از وقوع این باجافزار در تلاش باشید.
دوست عزیز
به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال میشویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزهی امنیت و هک علاقمندید میتوانید وبلاگ ما را دنبال کنید.