باج‌افزار Crysis قدرتمندتر از قبل ظاهر می‌شود

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

محققان کسپرسکی درباره ظهور مجدد و قدرتمندتر از پیش باج‌افزار Crysis هشدار می‌دهند.

q21
چند روز گذشته Michael Gillespie، متخصص امنیتی باج‌افزارها، نوع جدیدی از باج‌افزارها را کشف کرد که تمامی فایل‌ها را به فرمت .arena در هنگام رمزنگاری داده‌ها تغییر می‌دهد. دقیقا مشخص نیست که این باج‌افزار چگونه شیوع می‌یابد، اما در گذشته از طریق سرویس کنترل از راه دور دسکتاپ و نصب باج‌افزار بر روی سیستم به آلودگی و گسترش می‌پرداخت.

هنگامی که باج‌افزار بر روی سیستم نصب می‌شد، کامپیوتر را برای انواع فایل‌های خاص اسکن و آنها را رمزنگاری می‌کرد. هنگام رمزنگاری یک فایل فرمت .id-[id].[email].arena به فایل‌ها اضافه می‌شد. به عنوان مثال اگر یک فایل test.jpg نام داشت هنگام رمزنگاری توسط باج‌افزار به test.jpg.id-BCBEF۳۵۰.[این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید].arena تبدیل می‌شد. این باج‌افزار درایوها و اشتراک‌گذاری‌های شبکه را نیز رمزنگاری می‌کند. از این رو اطمینان حاصل کردن قفل اشتراک‌گذاری شبکه و باز کردن دسترسی آن تنها برای افرادی مهم است که واقعا به آن نیاز دارند.

شما می‌توانید در تصویر زیر نمونه‌ای از فولدر رمزنگاری شده توسط باج‌افزار Crysis را مشاهده کنید.
q22
به دلیل اینکه Crysis با اجرای فرمان زیر نسخه‌های Shadow Copy را از روی سیستم حذف می‌کند، بنابراین نمی‌توانید از آنها برای بازگردانی فایل‌های رمزنگاری شده‌ی خود استفاده کنید. باج‌افزار آنها را با اجرای دستور delete shadows /all /quiet از روی سیستم حذف خواهدکرد، اما Crysis در طول مدت خرابکاری خود دو یادداشت برای شما به جای می‌گذارد. یکی از آنها فایل info.hta است که توسط یک autorun راه‌اندازی شده‌است و یادداشت دیگری که از خود برای شما به جای می‌گذارد FILES ENCRYPTED.txt است.

هر دوی این یادداشت‌ها شامل دستورالعمل‌هایی هستند که برای پرداخت و تماس با ایمیل این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید برنامه‌ریزی شده‌اند و اما درنهایت باج‌افزار خودش را هنگامی که شما به ویندوز وارد می‌شوید پیکربندی خواهد‌کرد. این کار به او این اجازه فایل‌هایی را می‌دهد که برای رمزنگاری از زمان آخرین اجرا از قلم انداخته‌‌است.

در‌حال‌حاضر امکان رمزگشایی فایل ها توسط باج‌افزار Crysis وجود ندارد. متاسفانه در‌حال‌حاضر امکان رمزگشایی فایل‌های .arena که توسط باج‌افزار Crysis رمزنگاری شده‌است وجود ندارد.
q23
تنها راه بازیابی فایل‌های رمزنگاری شده از طریق بک‌آپ است و اگر شما به طور باورنکردنی خوش‌شانس هستید می‌توانید از طریق Shadow Volume Copies این کار را انجام دهید. اگرچه Crysis در حمله خود تلاش می‌کند تا نسخه‌های Shadow Volume Copies را حذف کند، اما در موارد بسیار نادر قادر به انجام این کار نخواهد‌بود و همین می‌تواند برای شما یک خوش‌شانسی بزرگ را به ارمغان بیاورد.
q24
به همین دلیل اگر که شما نسخه پشتیبان را تهیه نکرده‌اید و به دام این باج‌افزار افتاده‌اید پیشنهاد می‌کنیم که آخرین راه را برای بازگردانی فایل‌های خود یعنی همان Shadow Volume Copies را امتحان کنید.

برای محافظت در برابر Crysis و دیگر باج‌افزارها مهم است که از یک نرم‌افزار امنیتی مناسب استفاده کنید. مسلم است که هیچ‌چیز به اندازه استفاده نرم‌افزار امنیتی نمی تواند از شما و اطلاعات شما محافظت کند. حتی در زمانی که شما نکات امنیتی را حین وب‌گردی رعایت نمی‌کنید.

اول و مهم‌تر از همه همیشه باید یک بک‌آپ قابل اعتماد و تست شده از تمامی اطلاعات خود داشته‌باشید. علت تاکید ما برای بک‌آپ‌گیری به این دلیل است که اگر زمانی شما به یکی از باج‌افزارها گرفتار شدید می‌توانید به راحتی از کنار آن بگذرید و از بک‌آپ فایل‌های مهم و حیاتی خود استفاده کنید و بدون داشتن هیچ دغدغه‌ای آنها را بازگردانی کنید.

شما هچنین باید از یک نرم‌افزار امنیتی مناسب استفاده کنید که رفتارهای بدافزارها را تشخیص می‌دهد و قبل از انجام رفتارهای مخرب بر روی سیستم آن را مسدود می‌کند. اطمینان حاصل کنید که نرم‌افزارهای امنیتی شما به‌خوبی به‌روزرسانی می‌شوند و عملکرد آنها صحیح است و اما رعایت موارد زیر را فراموش نکنید:

• بک‌آپ‌گیری یکی از مهم‌ترین، مهم‌ترین و مهم‌ترین فعالیت‌های امنیتی است که هر کاربر باید آن را به طور منظم انجام دهد.

• در صورتی‌که فرستنده پیوست‌های ایمیل را نمی‌شناسید به‌هیچ‌وجه آنها را باز نکنید. پس از مطمئن شدن از هویت واقعی شخص فرستنده، ایمیل را باز کنید.

• پیوست‌های ایمیل را با ابزارهایی همانند VirusTotal اسکن کنید.

• از آپدیت‌های منظم و به موقع ویندوز خود اطمینان حاصل کنید. همچنین از آپدیت تمامی برنامه‌ها خصوصا جاوا، فلش، ادوب‌ریدر مطمئن شوید. برنامه‌های قدیمی شامل آسیب‌پذیری‌های امنیتی هستند که توسط توزیع‌کنندگان بدافزارها مورد سوء‌استفاده قرار می‌گیرند. به همین خاطر به‌روز‌رسانی به موقع آنها حائز اهمیت است.

• استفاده از نرم‌افزار امنیتی قابل اعتماد و همچنین قوی را فراموش نکنید.

• از رمز عبورهای سخت برای حساب‌های کاربری خود استفاده کنید و از تکرار رمزعبورهای استفاده شده بپرهیزید.

• اگر از سرویس های Remote Desktop استفاده می‌کنید، آن را مستقیما به اینترنت متصل نکنید. شما می‌توانید هنگام استفاده از آن به منظور امنیت بیشتر از یک VPN استفاده کنید. شما همچنین می‌توانید برای حفظ امنیت بیشتر خود از آنتی‌ویروس رایگان کسپرسکی استفاده کنید.