انتشار نسخه جدیدی از باج‌افزار CryptoMix‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q702

 

در روزهای اخیر نسخه جدیدی از باج‌افزار معروف CryptoMix در حال انتشار است که در آن ضمن رمز شدن فایل‌های کاربر و تغییر نام آنها، پسوند BACKUP نیز به فایل‌های رمزگذاری شده الصاق می‌شود.

در نسخه جدید از قربانی خواسته می‌شود از طریق ایمیل‌های زیر با مهاجمان ارتباط برقرار کند:

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
همچنین متن اطلاعیه باج‌گیری آن با نام HELP_INSTRUCTION.TXT_ در مقایسه با نسخه‌های قبلی این باج‌افزار تفاوت‌هایی دارد.

این باج‌افزار به‌منظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخه‌های Windows Shadow Volume از فرامین زیر استفاده می‌کند:

sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
باج‌افزار CryptoMix علاوه بر انتشار از طریق ایمیل‌های هرزنامه، بوسیله سایت‌های مخرب و تسخیر شده نیز اقدام به آلوده کردن سیستم‌ها و رمزگذاری فایل‌های آنها می‌کند. در زمان مراجعه کاربر به این سایت‌ها، کد مخرب تزریق شده در صفحه اینترنتی با بهره‌جویی از ضعف‌های امنیتی موجود در سیستم عامل Windows و نرم‌افزارهایی نظیر محصولات شرکت ادوبی و که بر روی دستگاه کاربر نصب شده‌اند، باج‌افزار را بر روی سیستم نصب می‌کند.

متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

نمونه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

ESET-NOD32

a variant of MSIL/Filecoder.MZ

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

از ضدویروس قدرتمند و به‌روز استفاده کنید.
از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون FORTIGATE بهره بگیرید.
آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
با مطالعه راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
در دوره های آگاهی رسانی شرکت مهندسی و ایمنی شبکه دژپاد ، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت دژپاد رایگان است.