پلیس فرانسه بدافزار ریتاداپ ۸۵۰هزار پی سی رو از راه دور پاک کرد

پلیس فرانسه امروز اعلام کرد که بدافزار بات‌نتی ریتاداپ (RETADUP) رو از روی ۸۵۰هزار کامپیوتر در سراسر جهان پاک کرده و منطقا این بات‌نت رو از جهان محو کرده.

اوایل امسال، محققان امنیتی آواست که به شکل فعال بات‌نت ریتاداپ رو زیر نظر داشت متوجه یه مشکل امنیتی توی این بدافزار شد که اجازه می‌داد با دسترسی به کامپیوتر کنترل کننده بات نت، بشه اونها رو از کامپیوتر آدم‌ها حذف کرد – از همون راه دور. برای انجام این کار، آواست نیاز به دسترسی به کامپیوتر کنترل و دستور (C&C) داشت که در فرانسه بود.

به همین دلیل محققین با مرکز پلیس سایبری فرانسه تماس گرفتن و مساله رو باهاشون مطرح کردن. بر اساس نقشه اونها، پلیس فرانسه باید کنترل سرور فرمان رو در دست می گرفت و برنامه اصلی کنترل کننده رو با نسخه جدیدی جایگزین می کرد که با استفاده از یک مشکل امنیتی در پروتکل این بات‌نت، می تونست بدون صدمه زدن یا حتی اجرای برنامه جدید روی پی سی آلوده، بدافزار رو از اون حذف کنه.

در اولین لحظات بعد از جایگزینی سرور قبلی با سرور جدید، چند هزار کامپیوتر آلوده به اون وصل شدن و دستوراتی که دریافت کردن رو اجرا کردن و ویروس از روشون پاک شد. بعد از مدتی، عدد کامپیوترهای پاک شده در حدود ۸۵۰هزار ثابت موند. به گفته پلیس، این سرور پاک کننده ویروس، تا چند ماه آینده هم روشن خواهد موند تا اگر کامپیوتری آلوده در طول اون مدت روشن بشه و به مرکز فرماندهی بات نت وصل بشه، دستورات پاک کننده رو دریافت کنه و پاک بشه.

پلیس فرانسه می‌گه در مورد این عملیات با اف.بی.آی. هم در ارتباط بوده چون بعضی از کامپیوترهای آلوده در آمریکا بودن. این رو هم اضافه کرده که کامپیوترها دستور ماین کردنشون رو از کامپیوتر کنترل کننده می گرفتن و به محض شروع این عملیات، دیگه نتونستن چیزی ماین کنن و نویسنده هاش از درآمدشون محروم شدن.

این بات نت از ۲۰۱۵ ظاهر شد و احتمالا از آمریکای لاتین. بات نت ریتاداپ می‌تونست کاربردهای مختلفی داشته باشه؛ از ماین رمزارزها تا دی‌داس کردن زیرساخت و جمع کردن اطلاعات. این بدافزار رو ویندوز نصب می شد و عملیاتی مثل نصب برنامه های دیگه یا گسترش خودش رو هم انجام می داد. در موارد متعددی دیده شده این بدافزار، پی‌لودهای باج افزار استاپ و سرقت کننده پسورد ارکی رو هم نصب کرده. در کنار همه اینها، روی کامپیوتر کنترل، یک کنترل کننده دات نتی RAT (تروجان دسترسی از راه دور) به اسم HoudRat هم پیدا شد.

منبع اصلی

اگر از یوتورنت استفاده می‌کنید،‌ احتمالا کامپیوترتون رو اجاره دادین به کاشفان بیت‌کوین +‌روش حذف ماینر

شیوه حذف epic scale

اگر اخیرا برنامه uTorrent رو نصب کرده باشین، احتمالا کامپیوتر شما همزمان یک برنامه استخراج بیت‌کوین به نام اپیک اسکیل رو هم نصب کرده و از کامپیوتر شما به عنوان یک کارگر توی معدن بیت کوینی (یا دقیقتر بگم لایت کوین) کار می کشه و پولی که در می یاره به جیب یکی دیگه می ره. این مساله اولین بار در فروم‌های یوتورنت مطرح شد و مدیرهای اونجا هم تاییدش کردن ولی مدعی شدن که اینکار بدون تایید کاربر اتفاق نیافتاده.

شرکت مادر یوتورنت یعنی بیت‌تورینت گفته «ما به شکل دقیق مساله رو بررسی کردیم و می تونیم مدعی بشیم که این برنامه مخفیانه نصب نشده. احتمالا کاربر نصب اون رو حین مراحل نصب تایید کرده». در واقع وقتی شما یوتورنت رو نصب می کنین برنامه «پیشنهاد» می ده که این رو هم نصب کنین و اکثرا بدون خوندن چنین چیزی رو اوکی می کنیم.

اگر شما هم یکی از صد میلیون آدمی در جهان هستین که این برنامه رو بدون اینکه بخواد نصب کرده، به یکی از روش های گفته شده در اینجا حذفش کنین و از این به بعد هم تلاش کنین از برنامه های آزاد و بازمتن استفاده کنین و هیچ چیز رو نخونده، اوکی نکنین.