CMB؛ نسخه جدید باج‌افزار مخرب CrySis

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

CMB؛ نسخه جدید باج‌افزار مخرب CrySis
q822
نسخه جدیدی از باج‌افزار CrySis در حال انتشار است که پس از رمزگذاری فایل‌های پراستفاده کاربر به آنها پسوند cmb را الصاق می‌کند.
CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – از جمله باج‌افزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP – معمولا از طریق درگاه TCP 3389 – اقدام به رخنه به سازمان و توزیع باج‌افزار بر روی دستگاه های قابل دسترس از روی دستگاه هک شده می‌کنند.
پس از اجرای فایل مخرب باج‌افزار CrySis، فایل‌های زیر بر روی دستگاه ایجاد می شوند:
 %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
 %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\cmb_ransomware.exe
 %Appdata%\Info.hta
 %UserProfile%\Desktop\FILES ENCRYPTED.txt
 C:\Users\Public\Desktop\FILES ENCRYPTED.txt
دست‌درازی‌های زیر نیز در بخش محضرخانه (Registry) اعمال می‌شود:
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmb_ransomware.exe C:\Windows\System32\cmb_ransomware.exe
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\Windows\System32\Info.hta mshta.exe “C:\Windows\System32\Info.hta”
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%Appdata%\Info.hta mshta.exe “%Appdata%\Info.hta”
CrySis، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های با پسوند خاص پویش کرده و سپس آنها را رمزگذاری می‌کند.
باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود. بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.
در این نسخه، به انتهای نام و پسوند فایل‌های رمزگذاری شده عبارت زیر افزوده می‌شود:
 .id-[id].[ این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید].cmb
متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
طی یک سال گذشته، کاربران و موسسات ایرانی به کرات هدف باج‌افزار CrySis قرار گرفته‌اند.
همانطور که اشاره شد روش اصلی انتشار باج‌افزار CrySis بهره‌گیری مهاجمان آن از پودمان پراستفاده RDP است..
لازم به ذکر است که نسخه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:
Kaspersky
– Trojan-Ransom.Win32.Crusis.to

Fortinet
– W32/Crysis.L!tr.ransom
ESET-NOD32
– a variant of Win32/Filecoder.Crysis.P