[[{"content_id":435677,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"ردیاب باج‌افزار عمومی برای OS X","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"هر باج&zwnj;افزار جدیدی که ظاهر می&zwnj;شود، محققان امنیتی می&zwnj;فهمند صرف&zwnj;نظر از اینکه ضد بدافزار چقدر سریع به&zwnj;روزرسانی می&zwnj;شود.\r\n\r\n\r\n\r\nبه گزارش واحد متخصصین سایبربان؛ با هر باج&zwnj;افزار جدیدی که ظاهر می&zwnj;شود، محققان امنیتی می&zwnj;فهمند صرف&zwnj;نظر از اینکه ضد بدافزار چقدر سریع به&zwnj;روزرسانی می&zwnj;شود یا رمزگشاها چقدر سریع ساخته و به اشتراک گذاشته می&zwnj;شوند، راه&zwnj;های دفاعی همچنان مورد رخنه قرار می&zwnj;گیرند.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمشکل این است که بیشتر راه&zwnj;های دفاعی برای نمونه&zwnj;های خاصی ساخته می&zwnj;شوند؛ آزمایشگاه کسپراسکی رمزگشای باج افزاری برای&nbsp;&nbsp;Cion Vault&nbsp;و&nbsp;Cryptor Bit&nbsp;ساخته است و سیسکو نیز ابزار مشابه ای برای رمزگشایی آلودگی&zwnj;های&nbsp;Tesla Crypt&nbsp; دارد.\r\n\r\nتعداد سازوکارهای دفاعی عمومی اندک هستند.&nbsp;CryptoMonitor&nbsp;راهکار هم&zwnj;زمان آسان (Easy Sync Solutions) که در ماه ژانویه توسط&nbsp;MalwareBytes&nbsp;منتشر شد، برای مثال نمونه&zwnj;های بسیاری را روی ویندوز بیش از اینکه باج&zwnj;افزارها اجرا شوند و پرونده&zwnj;ها را رمزگذاری کنند را شناسایی و مسدود می&zwnj;کند.\r\n\r\nبرای سیستم&zwnj;عامل&nbsp;OS X&nbsp;تعداد حملات باج&zwnj;افزارها به&zwnj;طور قابل&zwnj;توجهی اندک است و حتی سازو&zwnj;کار&zwnj;های شناسایی عمومی کمتر نیز می&zwnj;باشند.\r\n\r\nمحقق پاتریک واردل&nbsp;که رهبر تیم تحقیقاتی در&nbsp;Synack&nbsp;است و به&zwnj;عنوان یک پژوهش&zwnj;گر در مورد مسائل امنیتی سیستم&zwnj;عامل&nbsp; شناخته&zwnj;شده است، امروز شناساگر باج&zwnj;افزار خود را با نام&nbsp;RansomWhere&nbsp;را عرضه کرد. این ابزار، راهنماهای خانگی روی دستگاه&zwnj;های&nbsp;OS X&nbsp;را برای فرآیندهای ناشناخته و نامطمئن کنترل می&zwnj;کند که پرونده&zwnj;ها را رمزگذاری می&zwnj;کنند.\r\n\r\nاین شناساگر هنگامی&zwnj;که فرآیندی را مسدود کرد به کاربر هشدار می&zwnj;دهد و منتظر می&zwnj;ماند تا کاربر به آن اجازه ادامه فرآیند دهد یا به آن پایان دهد.\r\n\r\nواردل گفت: &laquo;من دیدم که راه&zwnj;های موجود کار نمی&zwnj;کنند و ضد بدافزارها هم نقص&zwnj;های خود را دارند.&nbsp;KeReg&nbsp;با یک اعتبارنامه&zwnj;ی&nbsp;ID&nbsp;اپل قانونی امضاشده است که از سد سیستم&zwnj;عامل به عنوان یک برنامه قانونی و معتبر می&zwnj;گذرد.\r\nGateKeeper&nbsp;ابزار امنیتی&nbsp;OS X&nbsp; به نام&nbsp;GateKeeper&nbsp;هم آن را مسدود نمی&zwnj;کند؛ بنابراین باید فکری کنید و راه&zwnj;های انتخاب کنید که فقط برای یک نمونه خاص نباشد&raquo;.\r\n\r\nباج&zwnj;افزار&nbsp;KeRenger&nbsp;ماه گذشته منتشر شد و محققان شبکه&zwnj;های&nbsp;Palo Alto&nbsp;لقب اولین باج&zwnj;افزار&nbsp;OS X&nbsp;عملکردی به آن دادند. حقیقت این است که&nbsp;KeRenger&nbsp;با اعتبارنامه&zwnj;ی حقیقی اپل امضاشده است که به او اجازه می&zwnj;دهد از راه&zwnj;های حفاظتی&nbsp;OS X&nbsp;رد شود؛ اما این باج&zwnj;افزار یک دوره سه&zwnj;روزه دارد و این زمان به محققان فرصتی برای آگاهی دادن به اپل و&nbsp;Transmission&nbsp;می&zwnj;دهد تا گواهی را مسدود و بدافزار را از فهرست بارگیری&zwnj;های مشتری حذف کنند.\r\n\r\nواردل گفت: باج&zwnj;افزار یک&zwnj;راه خیلی خوب برای مجرمان است که بتوانند با آن پول بسیاری به جیب بزنند. اگر شما بتوانید به رایانه&zwnj;ای حمله کنید و حتی شماره کارت اعتباری کاربر را بدزدید، هیچ ایده&zwnj;ای برای استفاده از آن ندارید. در بهترین حالت باید کسی را پیدا کنید که بتواند پول را از این کارت بیرون بکشد.\r\n\r\nحالا شما می&zwnj;توانید باج&zwnj;افزاری بنویسید و شاید بتوانید با آن&zwnj;یک نسخه از یک برنامه را بازکنید و آن را روی&nbsp;Pirate Bay&nbsp; (وب&zwnj;گاه به اشتراک&zwnj;گذاری پرونده&zwnj;های تورنت) قرار دهید. همین روش کار باج&zwnj;افزارهاست که یک روش به دست آوردن و آسان پول است.\r\n\r\nواردل توضیح داد که ابزار وی زمانی رفتاری را به&zwnj;عنوان باج&zwnj;افزار علامت&zwnj;گذاری می&zwnj;کند که تعدادی مشخصه داشته باشد، برای مثال تعیین کند که آیا به یک فرایند در حال اجرا اعتماد کند یا خیر. برای مثال فرآیندهای امضاشده توسط اپل یا فرآیندهایی که توسط کاربر تأیید شوند. سپس این ابزار رفتار فرآیندهای غیرقابل&zwnj;اعتماد را کنترل می&zwnj;کند تا مشخص کند آیا پرونده&zwnj;های ساخته&zwnj;شده یا تغییریافته، رمزگذاری شده&zwnj;اند یا خیر. اگر مشخص شد که این فرآیندها پرونده را رمزگذاری کرده&zwnj;اند، این ابزار سریعاً به کاربر هشدار می&zwnj;دهد و از کاربر می&zwnj;خواهد قدم بعدی را بردارد.\r\n\r\nواردل اعتراف کرد که نسخه&zwnj;ی ۱.۰ ابزار&nbsp;Ransome Where&nbsp;محدودیت&zwnj;هایی دارد و حتی ممکن است موردحمله واقع شود.\r\n\r\nاو گفت این&nbsp; ابزار شناسایی در پاسخ به واکنشی صورت می&zwnj;گیرد و کاربر پیش از اینکه هشداری را دریافت کند ممکن است تعدادی پرونده را هم از دست دهد. این ابزار هم&zwnj;چنین عملیاتی که توسط اپل امضاشده باشد را قابل&zwnj;اعتماد دانسته و آلودگی&zwnj;های تزریق&zwnj;شده توسط یک عملیات امضاشده را شناسایی نمی&zwnj;کند. واردل جزییات فنی چگونگی کارکرد این ابزار را منتشر کرده است.\r\n\r\nدر ضمن واردل گفت که نسخه آینده&zwnj;ی&nbsp;Ransome Where&nbsp;ممکن است تمامی پرونده&zwnj;های دستگاه&zwnj;ها را نیز کنترل کنند. او همچنین مایل است که این ابزار شناسایی را در هسته مرکزی قرار دهد و بتواند در آن سطح نیز مؤثر باشد. واردل گفت این اولین ابزاری است که زمان&zwnj;بندی در آن فوق&zwnj;العاده است.","content_html":"<h1>هر باج‌افزار جدیدی که ظاهر می‌شود، محققان امنیتی می‌فهمند صرف‌نظر از اینکه ضد بدافزار چقدر سریع به‌روزرسانی می‌شود.<\/h1>\n\n<div class=\"field field-name-field-news-img field-type-image field-label-hidden\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-items\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-item even\" style=\"border:0px;margin:0px;padding:0px;\"><span style=\"background-color:rgb(255,255,255);color:rgb(51,51,51);font-family:bbcnassim, arial, verdana, geneva, helvetica, sans-serif;font-size:18px;line-height:1.5em;text-align:justify;\">به گزارش واحد متخصصین سایبربان؛ با هر باج‌افزار جدیدی که ظاهر می‌شود، محققان امنیتی می‌فهمند صرف‌نظر از اینکه ضد بدافزار چقدر سریع به‌روزرسانی می‌شود یا رمزگشاها چقدر سریع ساخته و به اشتراک گذاشته می‌شوند، راه‌های دفاعی همچنان مورد رخنه قرار می‌گیرند.<\/span><\/div>\n<\/div>\n<\/div>\n\n<div class=\"body-news\" style=\"border:0px;font-size:18px;margin:44px 0px 0px;padding:0px;font-family:BBCNassim, Arial, Verdana, Geneva, Helvetica, sans-serif;text-align:justify;line-height:1.5em;float:none;clear:both;color:rgb(51,51,51);background-color:rgb(255,255,255);\">\n<div class=\"field field-name-body field-type-text-with-summary field-label-hidden\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-items\" style=\"border:0px;margin:0px;padding:0px;\">\n<div class=\"field-item even\" style=\"border:0px;margin:0px;padding:0px;\">\n<p dir=\"rtl\">مشکل این است که بیشتر راه‌های دفاعی برای نمونه‌های خاصی ساخته می‌شوند؛ آزمایشگاه کسپراسکی رمزگشای باج افزاری برای  <span dir=\"ltr\">Cion Vault<\/span> و <span dir=\"ltr\">Cryptor Bit<\/span> ساخته است و سیسکو نیز ابزار مشابه ای برای رمزگشایی آلودگی‌های <span dir=\"ltr\">Tesla Crypt<\/span>  دارد.<\/p>\n\n<p dir=\"rtl\">تعداد سازوکارهای دفاعی عمومی اندک هستند. <span dir=\"ltr\">CryptoMonitor<\/span> راهکار هم‌زمان آسان (<span dir=\"ltr\">Easy Sync Solutions<\/span>) که در ماه ژانویه توسط <span dir=\"ltr\">MalwareBytes<\/span> منتشر شد، برای مثال نمونه‌های بسیاری را روی ویندوز بیش از اینکه باج‌افزارها اجرا شوند و پرونده‌ها را رمزگذاری کنند را شناسایی و مسدود می‌کند.<\/p>\n\n<p dir=\"rtl\">برای سیستم‌عامل <span dir=\"ltr\">OS X<\/span> تعداد حملات باج‌افزارها به‌طور قابل‌توجهی اندک است و حتی سازو‌کار‌های شناسایی عمومی کمتر نیز می‌باشند.<\/p>\n\n<p dir=\"rtl\">محقق پاتریک واردل که رهبر تیم تحقیقاتی در <span dir=\"ltr\">Synack<\/span> است و به‌عنوان یک پژوهش‌گر در مورد مسائل امنیتی سیستم‌عامل  شناخته‌شده است، امروز شناساگر باج‌افزار خود را با نام <span dir=\"ltr\">RansomWhere<\/span> را عرضه کرد. این ابزار، راهنماهای خانگی روی دستگاه‌های <span dir=\"ltr\">OS X<\/span> را برای فرآیندهای ناشناخته و نامطمئن کنترل می‌کند که پرونده‌ها را رمزگذاری می‌کنند.<\/p>\n\n<p dir=\"rtl\">این شناساگر هنگامی‌که فرآیندی را مسدود کرد به کاربر هشدار می‌دهد و منتظر می‌ماند تا کاربر به آن اجازه ادامه فرآیند دهد یا به آن پایان دهد.<\/p>\n\n<p dir=\"rtl\">واردل گفت: «من دیدم که راه‌های موجود کار نمی‌کنند و ضد بدافزارها هم نقص‌های خود را دارند. <span dir=\"ltr\">KeReg<\/span> با یک اعتبارنامه‌ی <span dir=\"ltr\">ID<\/span> اپل قانونی امضاشده است که از سد سیستم‌عامل به عنوان یک برنامه قانونی و معتبر می‌گذرد.<br \/><span dir=\"ltr\">GateKeeper<\/span> ابزار امنیتی <span dir=\"ltr\">OS X<\/span>  به نام <span dir=\"ltr\">GateKeeper<\/span> هم آن را مسدود نمی‌کند؛ بنابراین باید فکری کنید و راه‌های انتخاب کنید که فقط برای یک نمونه خاص نباشد».<\/p>\n\n<p dir=\"rtl\">باج‌افزار <span dir=\"ltr\">KeRenger<\/span> ماه گذشته منتشر شد و محققان شبکه‌های <span dir=\"ltr\">Palo Alto<\/span> لقب اولین باج‌افزار <span dir=\"ltr\">OS X<\/span> عملکردی به آن دادند. حقیقت این است که <span dir=\"ltr\">KeRenger<\/span> با اعتبارنامه‌ی حقیقی اپل امضاشده است که به او اجازه می‌دهد از راه‌های حفاظتی <span dir=\"ltr\">OS X<\/span> رد شود؛ اما این باج‌افزار یک دوره سه‌روزه دارد و این زمان به محققان فرصتی برای آگاهی دادن به اپل و <span dir=\"ltr\">Transmission<\/span> می‌دهد تا گواهی را مسدود و بدافزار را از فهرست بارگیری‌های مشتری حذف کنند.<\/p>\n\n<p dir=\"rtl\">واردل گفت: باج‌افزار یک‌راه خیلی خوب برای مجرمان است که بتوانند با آن پول بسیاری به جیب بزنند. اگر شما بتوانید به رایانه‌ای حمله کنید و حتی شماره کارت اعتباری کاربر را بدزدید، هیچ ایده‌ای برای استفاده از آن ندارید. در بهترین حالت باید کسی را پیدا کنید که بتواند پول را از این کارت بیرون بکشد.<\/p>\n\n<p dir=\"rtl\">حالا شما می‌توانید باج‌افزاری بنویسید و شاید بتوانید با آن‌یک نسخه از یک برنامه را بازکنید و آن را روی <span dir=\"ltr\">Pirate Bay<\/span>  (وب‌گاه به اشتراک‌گذاری پرونده‌های تورنت) قرار دهید. همین روش کار باج‌افزارهاست که یک روش به دست آوردن و آسان پول است.<\/p>\n\n<p dir=\"rtl\">واردل توضیح داد که ابزار وی زمانی رفتاری را به‌عنوان باج‌افزار علامت‌گذاری می‌کند که تعدادی مشخصه داشته باشد، برای مثال تعیین کند که آیا به یک فرایند در حال اجرا اعتماد کند یا خیر. برای مثال فرآیندهای امضاشده توسط اپل یا فرآیندهایی که توسط کاربر تأیید شوند. سپس این ابزار رفتار فرآیندهای غیرقابل‌اعتماد را کنترل می‌کند تا مشخص کند آیا پرونده‌های ساخته‌شده یا تغییریافته، رمزگذاری شده‌اند یا خیر. اگر مشخص شد که این فرآیندها پرونده را رمزگذاری کرده‌اند، این ابزار سریعاً به کاربر هشدار می‌دهد و از کاربر می‌خواهد قدم بعدی را بردارد.<\/p>\n\n<p dir=\"rtl\">واردل اعتراف کرد که نسخه‌ی ۱.۰ ابزار <span dir=\"ltr\">Ransome Where<\/span> محدودیت‌هایی دارد و حتی ممکن است موردحمله واقع شود.<\/p>\n\n<p dir=\"rtl\">او گفت این  ابزار شناسایی در پاسخ به واکنشی صورت می‌گیرد و کاربر پیش از اینکه هشداری را دریافت کند ممکن است تعدادی پرونده را هم از دست دهد. این ابزار هم‌چنین عملیاتی که توسط اپل امضاشده باشد را قابل‌اعتماد دانسته و آلودگی‌های تزریق‌شده توسط یک عملیات امضاشده را شناسایی نمی‌کند. واردل جزییات فنی چگونگی کارکرد این ابزار را منتشر کرده است.<\/p>\n\n<p dir=\"rtl\">در ضمن واردل گفت که نسخه آینده‌ی <span dir=\"ltr\">Ransome Where<\/span> ممکن است تمامی پرونده‌های دستگاه‌ها را نیز کنترل کنند. او همچنین مایل است که این ابزار شناسایی را در هسته مرکزی قرار دهد و بتواند در آن سطح نیز مؤثر باشد. واردل گفت این اولین ابزاری است که زمان‌بندی در آن فوق‌العاده است.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-04-26 09:01:06","content_date_event":"2016-04-26 09:01:06","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-04-26 09:02:39","content_date_register":"2016-04-26 09:02:39","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201604\/36503_3696393872_150_104.webp","300":".\/cache\/184\/attach\/201604\/36503_3696393872_260_180.webp","400":".\/cache\/184\/attach\/201604\/36503_3696393872_260_180.webp","600":".\/cache\/184\/attach\/201604\/36503_3696393872_260_180.webp","900":".\/cache\/184\/attach\/201604\/36503_3696393872_260_180.webp","1200":".\/cache\/184\/attach\/201604\/36503_3696393872_260_180.webp"},"ext":"jpg","file_media":1,"token":3696393872,"files":{"original":{"url":".\/file\/184\/attach\/201604\/36503_3696393872.jpg","width":260,"height":180,"size":0}}}]}]]