• Kaspersky Endpoint Security for Business بازه ی وسیع و کاملی از محصولات امنیتی که توسط خبره ترین متخصصین امنیتی طراحی شده است را ارائه میکند

  • پنج راهکار کاربردی ضدويروس Eset برای مقابله با باج افزارهای ایمیل


    حجم، پیچیدگی و نوع تهدیدات اینترنتی روز به روز در حال افزایش است. طبق تحقیقات متخصصان ESET ، در بین این تهدیدات باج افزارها در چند ماه اخیر روند رو به رشدی داشته اند.
    هدف این نوع بد افزارها دسترسی به اطلاعات کاربران، رمز گذاری فایل ها و درخواست مبلغ مشخصی از آنان می باشد، که روز به روز نوع این حملات و پیچیدگی های آن افزایش می یابد. برای مثال مجرمان سایبری با رمز نگاری نامتقارن الگوریتم ها ، که بازیابی اطلاعات را از طریق مهندسی معکوس غیر ممکن می سازد، به چنین اقدامی مبادرت می ورزند.
    با وجود این پیچیدگی ها زمانی که برای اولین بار سیستمی آلوده می شود، روش انتشار باج افزارها(مثل کاربرد مهندسی اجتماعی از طریق ارسال ایمیل) بسیار ساده میشود. بنابراین پیروی از قوانین حیاتی و در عین حال ساده ی زیر می تواند کاربران را از ابتلا به چنین تهدیداتی در امان نگه دارد.


       • تهدیدات جدید با روش های انتشار همیشگی


    در ماه های اخیر آزمایشگاه ESET ، اطلاعاتی در خصوص گسترش بد افزارهای مختلف بر اساس ایمیل های انبوه همراه با فایل پیوست را منتشر کرده است.
    تعدادی از بدافزاهایی که اغلب مورد استفاده قرار می گیرند عبارتند از CryptoLocker، TorrentLocker و اخیرا هم CTB-Locker که از میان دیگر روش ها از طریق فایل پیوست ایمیل گسترش می یابند.
    به محض نصب بر روی کامپیوتر کاربر ، رمز Filecoder اطلاعات کاربر را رمز نگاری کرده و درخواست مبلغی مشخص به عنوان باج جهت ارائه ی کلمه عبور اطلاعات سرقت شده به منظور رمز گشایی می کند.اگر کاربر وجه را پرداخت کند ، رمز ارائه شده فقط برای همین کامپیوتر قابل استفاده خواهد بود و نه دیگر سیستم های آلوده.
    در اینجا بهتر است به سراغ راه کارهایی ساده و کاربردی جهت جلوگیری از ابتلا و یا به حداقل رساندن حملات این نوع تهدیدات برویم.


            1- اجتناب از ارائه ی آدرس ایمیل


    اغلب مجرمان در وب سایت هایعمومی( مثل web forums) با جستجو در میان آدرس ایمیل ها به آدرس ایمیل های زیادی دسترسی پیدا می کنند. هدف از این اقدام به دست آوردن تعداد زیادی آدرس ایمیل برای گسترش بد افزارها، هرزنامه ها، حملات فیشینگ و باج افزارها می باشد.

    زمانی که فردی مبادرت به ارسال ایمیل های گروهی بدون پر کردن قسمت bcc ورزد، این پیام ها به مجرمان سایبری اجازه می دهد که به سادگی به این اطلاعات دسترسی پیدا کنند. ارسال مجدد ایمیل ها کار را برای مجرمان آسان تر خواهد کرد.


    2- بررسی متن پیام های دریافتی و ارسالی


    بررسی محتوای پیام های دریافتی بسیار ضروری است.علاوه بر محتوای پیام ها، فایل های پیوست آنها نیز امروزه راهکار مورد استفاده ی مجرمان برای انتشار بدافزارهای باجگیر می باشد.
    به همین خاطر کنترل فرستنده ی ایمیل، هشیار بودن نسبت به ایمیل های وسوسه انگیزی که مقاومت در برابر آنها سخت می باشد و کلیک نکردن بر روی لینک های ارسالی که کاربر را به وب سایت های آلوده ارتباط می دهد برای مقابله با بدافزارها و حفاظت از ایمیل حائز اهمیت می باشد.
    علاوه بر کنترل پیام های دریافتی کاربر بایستی نسبت به اطلاعاتی که ارسال می کند، گیرنده ی پیام و فایل های پیوست نیز دقت کافی داشته باشد. اطلاعات حیاتی ممکن است بر اثر بی دقتی به فردی ناشناس ارسال شود . حتی امکان ارسال بدافزارها هم به صورت ناخواسته وجود دارد.


    3- استفاده از نرم افزارهای امنیتی معتبر


    نصب و اجرای یک نرم افزار امنیتی جهت حفاظت از اطلاعات و همچنین تجهیزات کامپیوتری برای مقابله با نفوذ و گسترش بد افزارها بسیار حیاتی می باشد.
    اگر به اشتباه و یا از روی نا آگاهی فایلی آلوده نصب شده و یا بر روی لینکی مخرب کلیک شود نرم افزار امنیتی اجازه ی اجرا و آلوده سازی سیستم را نخواهد داد. البته باید توجه داشت که آنتی ویروس ها بایستی به روز بوده باشد و تنظیماتشان نیز به درستی انجام شده باشد.
    علاوه بر این و با توجه به اینکه بدافزارها برای نصب و آلوده سازی سیستم های اندروید( مثل تروجان Simplocker که برای اولین بار رمزگذاری سیستم های اندروید را انجام داد) نیز به روز شده اند ، نصب آنتی ویروس بر روی تبلت ها و تلفن های هوشمند نیز بسیار ضروری به نظر می رسد.


    4- به روز رسانی آنتی ویروس ها، برنامه های کاربردی و نرم افزارها


    به روز رسانی نرم افزارهای کامپیوتری و آنتی ویروس ها برای مقابله با تهدیدات جدید بسیار مهم می باشد.
    همچنین اطمینان از اعتبار نرم افزارهای دانلود و نصب شده بر روی سیستم مهم می باشد. اگرچه مجرمان سایبری معمولا از طریق ارسال ایمیل نسبت به انتشار این بدافزارها اقدام می کنند اما گاهی با قرار دادن لینک ها و برنامه های آلوده نیز به این کار مبادرت می ورزند.


    5- پشتیبان گیری از داده ها و اطلاعات بر روی درایورهای خارجی


    در مورد کاربرانی که قربانی این حملات شده اند آخرین راهکار می تواند تهیه ی نسخه ی پشتیبان از اطلاعات و داده ها باشد. متخصصان ESET علاوه بر عنوان فواید تهیه نسخه ی پشتیبان روش صحیح پشتیبان گیری را نیز آموزش داده اند.
    بی توجهی به ایمیل های دریافتی از سوی افراد ناشناس و عدم دانلود فایل های پیوست مهم ترین اقدامی است که در اولین مرحله بایستی انجام داد. اما بهترین اقدامی که در صورت ابتلا به این تهدیدات پیش روی شما قرار دارد تهیه ی نسخه ی پشتیبان از فایل ها و داده ها بر روی درایور های خارجی است.


    • ترکیبی از شیوه های مناسب، ابزارهای امنیتی و آگاهی


    همانطور که در ابتدای این پست هم آمد، حجم، پیچیدگی و نوع حملات به خصوص در ارتباط با باج افزارها ما را به این نتیجه می رساند که انجام اقدامات امنیتی مناسب به منظور پیشگیری بسیار ساده تر از انجام اقداماتی مبنی بر رفع این تهدیدات می باشد.
    واقعیت این که تا زمانی که این تهدیدات وجود دارند تاکید بر استفاده از راهکارهای امنیتی مناسب و آموزش افراد به منظور ارتقا سطح آگاهی آنها، بسیار ضروری می باشد از این طریق است که قربانیان این اقدامات کاهش یافته و یا حداقل عواقب ناشی از ابتلا به بدافزارها به حداقل خواهد رسید.
    در نتیجه بی توجه به پیچیدگی و حجم تهدیدات جدید، میتوان با ترکیب دانش روز و استفاده از نرم افزارهای امنیتی مناسب و آگاهی از جدیدترین تهدیدات دنیای سایبری خطر ابتلا به بدافزارها را به حداقل رساند.

  • 7 مرحله آسان برای اینکه خودتان را در مقابل باج افزار WannaCry محافظت کنید


    از روز جمعه هزاران کامپیوتر در سرتا سر جهان مورد حمله باج افزار جدیدی به نام WannaCry قرار گرفته شد است. ده ها کشور از جمله انگلستان ، اسپانیا ، پرتقال ، ایتالیا ،روسیه و.... از حملات سایبری باج افزار WannaCry خبر دادند.


    باج افزار Wannacry هزاران کامپیوتر در سرتاسر جهان را آلوده کرده است سازمان بهداشت انگلیس ، چندین بیمارستان ، شرکت مخابراتی تلفونبکا در اسپانیا از قربانیان این حمله سایبری هستند.

    این باج افزار به سرعت در حال گسترش است و به سرعت خود را از سیستم ای به سیستم دیگر منتقل می کند.


    کوین بومونت متخصص امنیت سایبری می گوید: "این یک حمله سایبری عظیم بوده که موسسات مختلف را در سراسر اروپا در ابعادی هدف قرار داده. من تا به حال چنین چیزی ندیده بودم."


    این باج افزار با رمزگذاری فایل های سیستم اجازه کار به کاربر را نمی دهد و مبلغی را به عنوان باج از کاربر درخواست می کند. مبلغ به صورت بیت کویین در خواست می شود.


    هکرها از حفره «EternalBlue» که در ویندوز وجود داشته استفاده کرده اند .حفره ای که گفته می شود سازمان NSA پیشتر از آن برای دور زدن امنیت ویندوز بهره گرفته بود حفره ای که مایکروسافت دو ماه پیش آن را در یکی از به روز رسانی های ویندوز رفع کرده های قدیمی تر ویندوز اما طبق معمول، همه به سرعت سیستم ها را آپدیت نمی کنندو این خود باعث آلودگی سیستم ها می شود.


    با آپدیت کردن ویندوز به آخرین پچ های امنیتی به راحتی می توان در مقابل این باج افزار محافظت شد.
    هنوز راهکاری برای بر طرف کردن آلودگی سیستم های آلوده پیدا نشده ولی کاربران با چند مرحله ساده اقدام به ایمن سازی سیستم ها در مقابل این باج افزار کنند.


    در زیر مراحلی برای پیشگیری و محافظت در مقابل این باج افزار ذکر شده است.

    1. سیستم خود را به روز نگه دارید.

     

    اولین کار این است که سیستم عامل خودتان را آپدیت کنید و از آخرین نسخه ویندوز استفاده کنید.

     

    2. از سیستم عامل پشتیبانی نمی شوند استفاده نکنید.

     

    اگر از سیستم عامل های منسوخ شده ای مثل ویندوز Xp استفاده می کنید از سایت ماکروسافت پچ اضطراری امروز را دانلود کنید.

     

    3.فایروال تان را فعال کنید :


    فایروال را فعال کنید اگر هم فعال است در تنظیمات آن از دسترسی به پورت SMB چه در شبکه و چه از اینترنت جلوگیری کنید. این پروتکل روی TCP پورت های 137 ، 139 و 445 و بر روی UDP پورت های 137 و 138 می باشد.

     

    4. SMB را غیر فعال کنید :

     

    مراحل شرح داده شده توسط ماکروسافت را برای غیر فعال کردن سرور مسدود کردن پیام را دانبال کنید (SMB)

     

    5. آنتی ویروس خود را اپدیت کنید:

     

    برای حفاظت در مقابل آخرین تهدیدات همیشه به روز بمانید.

     

    6. پشتیبانی گیری منظم :


    برای حفظ اسناد و فایل های خود همیشه نسخه پشتیبانی با یک روال پشتیبانی گیری مرتب و در سیستم خارجی امن ومناسب استفاده کنید.

     

    7. مراقب فیشینگ باشید :


    اسناد و فایل ها و اطلاعات را از منابع ناشناس و بدون منبع معتبر دریافت نکنید. ایمیل های ناشناس با فایل های ضمیمه به احتمال زیاد ممکن است ویروسی باشند.

     

  • باج‌افزاری که هم‌زمان حدود 99 کشور را درگیر کرد

    WannaCry امنیت سایبری دنیا را برهم زد

    در یک رویداد بی‌سابقه حدود 99 کشور به‌طور هم‌زمان هدف حملات سایبری خطرناکی قرار گرفتنددر رخدادی بی‌سابقه حدود 99 کشور هم‌زمان هدف حملات سایبری خطرناکی قرار گرفتند که طراحان بدافزار مذکور با نام WannaCry برای باز کردن قفل رایانه‌ها حداقل ۳۰۰دلار درخواست کرده‌اند. کارشناسان اعلام کرده‌اند که آمریکا، انگلیس، روسیه، چین، ایتالیا، اسپانیا، اکراین و هند از‌جمله کشورهایی بوده‌اند که هدف این حملات قرار گرفته‌اندشرکت امنیتی کسپرسکی روسیه نیز اعلام کرد روسیه بیش از هر کشور دیگری هدف این موج حملات قرار گرفته‌استاین حمله سایبری شامل یک باج‌افزار است. طبق اظهارنظر کارشناسان امنیتی، این بدافزار از فاکتور آسیب‌پذیری کشف و توسعه داده‌شده توسط آژانس اطلاعات ملی (NSA) بهره گرفته‌استبه گزارش روزنامه نیویورک تایمز، در این حمله سایبری گسترده به رایانه‌ها در سراسر اروپا و آسیا، سیستم خدمات بهداشت ملی انگلیس (NHS) نیز مورد حمله یک بدافزار قرار‌گرفت؛ به‌طوری‌که با مسدود کردن امکان دسترسی پزشکان به پرونده بیماران، بخش فوریت‌های پزشکی در بیمارستان‌ها و مراکز درمانی به ناچار از پذیرش بیماران سر باز زدندترزا می، نخست وزیر انگلیس، با انتشار بیانیه‌ای اعلام کرد که هدف از این حمله سایبری، صرفا شبکه بهداشت و درمان انگلیس نبود بلکه حمله‌ای بین‌المللی به چند کشور و چندین سازمان بین‌المللی بوده‌استدر میان بسیاری از نهادها و مؤسساتی که مورد این حمله سایبری قرار‌گرفته‌اند، بیمارستان‌ها و شرکت‌های ارتباطات مخابراتی در سراسر اروپا، روسیه و آسیا به چشم می‌خورنددو شرکت «تلفونیکا» اسپانیا و «مگافون» روسیه نیز در میان قربانیان این حمله سایبری قرار دارندبه گزارش العالم، این حملات سایبری در انگلیس و یازده کشور دیگر ازجمله ترکیه، ویتنام، فیلیپین، ژاپن و با حجمی گسترده‌تر در روسیه روی داده‌است. به نظر می‌رسد که تمامی رایانه‌ها با باج‌افزاری مشابه مورد حمله قرار گرفته‌اند و پیام‌های باج‌گیری مشابهی مبنی‌بر پرداخت ۳۰۰ دلار جهت گشودن قفل از داده‌ها به کاربران قربانی ارسال شده‌استمایکروسافت برای رفع حفره های امنیتی افشا شده توسط هکرها وصله هایی را عرضه کرده، اما کاربرانی که این وصله ها را نصب نکرده اند، به طور جدی در معرض خطر هستند

  • ابزار رمزگشایی برای باج‌افزار واناکرای منتشر شد

    ابزار رمزگشایی برای باج‌افزارواناکرای منتشر شد و قربانیان می‌توانندپرونده‌ها را بدون پرداخت باج رمزگشایی کنند

     


    ابزار رمزگشایی برای باج‌افزار واناکرای منتشر شده‌است و دیگر لازم نیست قربانیان برای بازیابی پرونده‌های خود به مهاجمان باج پرداخت‌ کنند 

    محقق فرانسوی به نام آدرین گیونت از شرکت Quarkslab، روشی را کشف کرد که به‌طور رایگان می‌توان کلیدهای رمزگشایی در باج‌افزارواناکرایرا به‌دست آورد. گفتنی است این ابزار بر روی سیستم‌عامل‌های ویندوز ایکس‌پی، ویندوز ویستا، کارگزار ویندوز۲۰۰۳و۲۰۰۸کار می‌کند

    در رمزنگاری توسط باج‌افزارواناکرای با استفاده از اعداد اول، جفت کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی پرونده‌ها بر روی سیستم قربانی تولید می‌شود. باج‌افزار برای اینکه از دسترسی قربانی به کلید خصوصی و رمزگشایی پرونده‌ها جلوگیری کند به‌طور‌کلی کلید خصوصی را از روی سیستم قربانی پاک می‌کند

    هرچند که باج‌افزار کلید خصوصی را از روی سیستم قربانی پاک می‌کند، ولی اعداد اولی که برای تولید کلیدها مورد استفاده قرار گرفته‌بود بر روی حافظه‌ سیستم باقی می‌ماند. با توجه به این مسئله گیونت توانست ابزار رمزگشایی برای این باج‌افزار را با نام کلید WannaKey ارائه‌دهد. این ابزار اعداد اول را از حافظه‌ سیستم بازیابی کرده و با استفاده از آن کلیدهای رمزگشایی را تولید می‌کند. این ابزار صرفاً بر روی سیستم‌عامل ویندوز ایکس‌پی عمل‌می‌کند

    این محقق در مورد این ابزار توضیح داد: «عملکرد این ابزار مبتنی‌بر جست‌وجو در فرآیند wcry.exe است. این همان فرآیندی است که کلیدهای خصوصی RSA را تولید می‌کند. اشکال اصلی که در این باج‌افزار وجود دارد این است که توابعCryptDestroyKeyو CryptReleaseContext قبل از آزادسازی فضای حافظه، اعداد اول را حذف نمی‌کنند». 

    بنابراین نتیجه‌ای که می‌توانگرفت این است که
    • 
    این ابزار تنها بر روی سیستم‌هایی عملیاتی است که پس از آلوده‌شدن به باج‌افزار، مجدداً راه‌اندازی نشده‌باشند
    • 
    حافظه‌ مربوط به فرآیند باج‌افزار آزاد نشده و به فرآیند دیگری تخصیص داده نشده ‌باشد.

    از طرفی یک محقق امنیتی دیگر به نام بنجامین دل‌پی ابزاری با نام WanaKiwi را منتشر کرد که استفاده از آن بسیار راحت است. در این ابزار نیز از یافته‌های گیونت استفاده شده‌است. تمامی کاربرانی که تحت‌تأثیر این باج‌افزار قرار گرفته‌اند، می‌توانند این ابزار را از روی گیت‌هاب بارگیری و نصب کنند و برای اجرا نیز باید از خط فرمان ویندوز استفاده‌کنند

    ابزار وانا‌کی‌وی بر روی سیستم‌عامل‌های ویندوز ایکس‌پی، ویندوز۷، ویندوز ویستا و کارگزار ویندوز۲۰۰۳و۲۰۰۸به‌خوبی کار می‌کند. هرچند به‌دلیل برخی محدودیت‌ها و وابستگی‌هایی که این ابزار رمزگشایی دارد، ممکن است برای تمامی کاربران به‌خوبی کار نکند، ولی به هرحال خبر امیدوارکننده‌ای برای کاربرانی است که تحت‌تأثیر این باج‌افزار قرار‌گرفته‌اند.


  • شرکت ها و سازمان ها به منظور برقراری و رعایت نکات امنیتی و جلوگیری از آلودگی در شبکه خود اقدام به نصب آنتی ویروس بر روی سیستم های خود می کنند. اغلب این سازمان ها از یک سرور مرکزی (سرور آپدیت) برای به روز رسانی آن استفاده می کنند به این صورت که سرور آپدیت که معمولا متصل به اینترنت است آخرین نسخه های آپدیت را دریافت کرده و سیستم¬های دیگر، از طریق این سرور، به روزرسانی می شوند.

    از آنجایی که این سرور (به صورت موقت یا دائمی) به اینترنت متصل می شود، درگاهی برای نفوذ هکرها به حساب می آید و در بسیاری از موارد مشاهده شده است که سازمان هایی که به زعم خود شبکه داخلی خود را ایزوله و امن کرده اند و از لحاظ نکات امنیتی آن را در جایگاه قابل قبولی تصور می کنند، از این نقطه مورد حمله قرار گرفته و آسیب می بینند. حتی در خوش بینانه ترین حالت که نفوذی از سمت هکر صورت نگیرد، به علت رد و بدل شدن اطلاعات بین سرور آپدیت و سرور آنتی ویروس مربوطه، امکان جاسوسی نیز وجود دارد.



    لذا پیشنهاد می گردد در وحله اول آنتی ویروس اوريجينال استفاده گردد و اگر به هر دلیلی این کار میسر نبود مراحل زیر دنبال گردد:
    1) در هنگام دریافت آپدیت، ترافیک ارسالی از سمت سرور آپدیت به سمت سرور آنتی ویروس فیلتر گردد.
    2) سرور آپدیت فقط در ساعت هایی مشخص (به عنوان نمونه ساعت 12 ظهر روزهای چهارشنبه و یا...) اقدام به دریافت فایل آپدیت نموده و در بقیه موارد (مخصوصا روزهای تعطیل) اتصال آن از اینترنت به صورت فیزیکی قطع گردد و لاگ سرور آپدیت به صورت دوره ای (مثلا دو یا سه روزه) بررسی گردد.
    3) اتصال سرور آپدیت پس از دریافت فایل آپدیت از اینترنت قطع گردد.
    4) فایل آپدیت از لحاظ اینکه ممکن است کد مخربی در آن وجود دارد بررسی و تحلیل گرد.
    5) فایل آپدیت به صورت تست بر روی یک سیستم قرنطینه نصب و ترافیک کارت شبکه توسط ابزارهای ضبط ترافیک به منظور احتمال ارسال اطلاعات بررسی گردد.
    6) از طریق سرور آپدیت، سایر سیستم های شبکه آپدیت گردد و پس از انجام عملیات آپدیت، اتصال شبکه داخلی از سرور آپدیت قطع گردد.

    یادآوری: به کارگیری پیشنهادات امنیتی باعث بالارفتن امنیت شبکه داخلی شما خواهد. به یاد داشته باشید امنیت امری نسبی است و نه مطلق و هیچ زمان نمی توان ادعا کرد که امنیت به صورت صد در صد تامین شده است.

  • ارسال 5 میلیون ایمیل آلوده در هر ساعت توسط باج افزار جدیدJaff

    image003

    یک نمونه ی جدید از خانواده ی بدافزارها با نام Jaff توسط محققان امنیتی شناسایی شده است که بر پایه بات‌نت Necursدر حال پخش کردن یک باج افزار جدید با سرعت 5 میلیون ایمیل در هر ساعت است و توانسته کامپیوترهای بسیاری را در سراسر جهان آلوده سازد.

    باج افزار Jaff نوعی جدید از باج افزارهای رمزنگار است که شباهت بسیار زیادی با باج افزار Locky دارد و فرق اصلی آن ها در مبلغ پولی است که Jaff دریافت می کند و این مبلغ برابر با ۱٫۷۹ بیت کوین (تقریباً 33000 دلار) است که این مبلغ بسیار بالاتر از مبلغ درخواستی Locky برای فایل های رمزنگاری شده خود بود.

    طبق گزارش محققان امنیتی Forcepoint Security Lab، باج افزار Jaff به زبان C نوشته شده است و به کمک بات‌نت Necurs در حال گسترده شدن است که این بات‌نت در حال حاضر به ۶ میلیون کامپیوتر آلوده شده در سراسر جهان کنترل و نظارت دارد.

    بات‌نت Necurs به میلیون‌ها کاربر ایمیل حاوی یک فایل ضمیمه شده از نوع PDFارسال می‌کند که اگر کاربران بر روی آن کلیک کنند یک فایل word باز می شود که دارای یک اسکریپیت ماکروی مخرب است که برای دانلود کردن و اجرای باج افزار Jaff مورد استفاده قرار می گیرد.

    image001 2

    ماجرای این باج افزار از چه قرار است؟

    این کمپین ایمیل های مخرب در روز 5 شنبه (11 می ماه) از ساعت 9 صبح شروع شده است و در ساعت 1 بعد از ظهر به اوج حمله ی خود رسیده است. در این زمان کوتاه، این سیستم 13 میلیون ایمیل ارسال شده را ثبت کرده است که واضح است نرخ آن بسیار بالا بوده است.

    زمانی که قربانی فایل پی دی اف را باز می کرد، مجرمان با یک پیام تبریک بر روی پی دی اف از قربانی استقبال می کردند. محققان امنیتی می گویند، این باج افزار بیش از 423 پسوند فایل را مورد هدف قرار داده است. نکته جالبی که در این باج افزار قابل روئیت بود حالت آفلاین آن بود، Jaff قادر بود در حالت آفلاین و بدون اینکه به یک سرور command and control متصل باشد عملیات رمزنگاری را انجام دهد. طبق روند همه ی باج افزارهای دیگر، پس از رمزنگاری تمامی فایل ها پسوند .jaff می گیرند.

    پس از رمزنگاری فایل های قربانی، باج افزار پیغامی را بر روی هر فولدر آلوده شده قرار می دهد، این در حالی است که تصویر دسکتاپ نیز تغییر کرده است.

    اما محتویات این پیغام ازجانب باج افزار چه چیزی است؟ این پیغام به قربانیان می گوید که تمامی فایل های شما رمزنگاری شده است اما از آن ها تقاضای باج نمی کند و به جای آن اصرار می‌کند تا یک پورتال پرداخت را در یک وب‌سایت که در Tor قرار دارد مشاهده کنند که از طریق مرورگر Tor قابل‌دسترسی است و در آن نحوه رمزگشایی فایل‌های آن‌ها آمده استدر واقع به گونه ای برخورد می کند که قربانیان تصور می کنند آن ها دایه ی دلسوز تر از مادر هستند و به فکر رمزگشایی فایل های آن ها هستند.

    هنگامی که قربانی مرورگر Tor را نصب می کند، سایت برای آن ها باز می شود، در آن جا است که درخواست مبلغ بیت کوین یا تقریباً 3300 دلار دلار باج را مشاهده می کنند.

    image002

    محققان امنیتی این احتمال را می دهند که در پشت باج افزار Jaff، مجرمان Locky،  Dridex وBart قرار دارند. سازمان هایی که قربانی این باج افزار موذی شدند در درجه اول در کشورهای انگلستان، آمریکا، ایرلند، بلژیک، ایتالیا، آلمان، هلند، فرانسه، مکزیک و استرالیا بودند.

    چگونه در برابر باج افزارJaff در امان بمانیم؟

    1.      محافظت در برابر این باج افزار نیاز به انجام کار خاصی ندارد. شما باید همیشه به پیوست های ایمیل خود مشکوک باشید و هیچ گاه با خیال آسوده آن ها را باز نکنید. هیچ‌گاه بر روی لینک‌های قرار داده شده در ایمیل هایی که آن ها را نمی شناسید، کلیک نکنید مگر آنکه از منبع آن مطمئن باشید.

     

    2.      توجه داشته باشید که گزینه ی Macro در نرم افزار مایکروسافت آفیس غیر فعال باشد و در صورتیکه اینگونه نبود می توانید آن را غیر فعال سازیددر سازمان‌های بزرگ، مدیر سیستم می‌تواند تنظیمات پیش‌فرضی را برای macroهای تمامی سیستم‌ها در نظر و قرار بدهد.

     

    3.      بک آپ گیری را فراموش نکنید. یکی از مزیت های بک آپ گیری این است که حتی اگر خشن ترین باج افزارها هم به سیستم شما حمله کنند و به رمزنگاری فایل های شما مشغول شود شما هیچ نگرانی نخواهید داشت و در نهایت با ابزار ضدباج افزار برای کسب و کارهایا ابزار های مختلف برای حذف ویروسآن ها را از بین خواهید برد. در صورتیکه عمل بک آپ گیری را به طور منظم فراموش می کنید؛ می توانید وظیفه این کار را به عهده ی توتال سکیوریتی کسپرسکیبسپارید.

     

    4.      از یک آنتی ویروس خوب و قویبرای محافظت از سیستم خود در برابر باج افزارهای مختلف و جدید استفاده کنید و همیشه دانش امنیتی خود را با خواندن مقالات امنیتی خور را به روز کنید.

  •  image001

    کلیک نکنید

    اگر پیام ویدئویی در فیس‌بوک به شما ارسال شد، حتی از طرف دوستان‌تان، روی آن کلیک نکنید. 

    محققان امنیتی در آزمایشگاه کسپرسکی یک پویش چند‌بستری را در پیام‌رسان فیس‌بوک پیدا کرده‌اند، جایی که کاربران یک پیوند ویدئویی دریافت می‌کنند که از طرف یک وب‌سایت جعلی فرستاده شده و آنها را برای نصب نرم‌افزارهای مخرب ترغیب می‌کند.

    اگرچه هنوز مشخص نیست که بدافزار چگونه گسترش می‌یابد، محققان معتقدند ارسال‌کننده هرزنامه‌ها از حساب‌های آسیب‌‌دیده استفاده می‌کنند، مرورگرها را می‌ربایند و یا روش‌های کلیک‌ربایی را برای گسترش پیوند مخرب استفاده‌می‌کنند. مهاجمان از مهندسی اجتماعی استفاده می‌کنند تا کاربران را به کلیک کردن روی پیوند ویدئویی که ادعا می‌شود از طرف یکی از دوستان فیس‌بوک‌شان است، ترغیب کنند. با پیامی حاوی این مطلب که دوست شما این ویدئو را دنبال می‌کند.

    این URL قربانیان را به گوگل‌داک هدایت می‌کند که تصویر کوچک ویدئویی تولیدشده را به‌صورت پویا نمایش می‌دهد، مانند یک فیلم قابل پخش بر اساس تصاویر فرستنده که در صورت کلیک روی آن، بسته به مرورگر و سیستم‌عامل آنها، کاربران را به یک صفحه سفارشی دیگر متصل می‌کند. به عنوان مثال، کاربران موزیلا فایرفاکس در ویندوز به یک وب‌سایت هدایت می‌شوند که یک اعلان به‌روزرسانی جعلی فلش‌پلیر است و سپس یک پرونده‌ قابل اجرای ویندوز پیشنهاد می‌دهند که به عنوان یک نرم‌افزار تبلیغاتی شناخته شده‌است.

    کاربران گوگل کروم به یک وب‌سایت هدایت می‌شوند که به‌عنوان یوتیوب با نماد مشابه یوتیوب ظاهر می‌شود و یک پیام خطا جعلی را نشان می‌دهد که قربانیان را فریب می‌دهد تا یک افزونه کروم مخرب را از فروشگاه وب گوگل بارگیری کنند. این افزونه در واقع یک ابزار بارگیری است که به انتخاب مهاجم یک پرونده را در رایانه قربانی بارگیری می‌کند. 

    دیوید یعقوبی، یکی از محققان امنیتی آزمایشگاه کسپرسکی در وبلاگش نوشته‌است: «در زمان نوشتن، پرونده‌ای که باید بارگیری شود در دسترس نبود.»

    یکی از یافته‌های جالب این است که افزونه کروم پرونده‌ گزارشی را از توسعه‌دهندگان دارد که نام‌های کاربری‌ را نشان می‌دهد. مشخص نیست که این مربوط به مبارزات انتخاباتی باشد، اما هنوز بخش متحیرکننده‌ای از اطلاعات است. کاربران سافاری در سیستم‌های مک اپل شبیه به زمانی که فایرفاکس استفاده‌می‌کنند به یک صفحه وب پایان می‌دهند، اما آن برای کاربران MacOS با یک به‌روزرسانی جعلی برای فلش‌مدیاپلیر سفارشی‌سازی شده که در صورت کلیک، یک پرونده .dmg اجرایی OSX بارگیری می‌شود که یک نرم‌افزار تبلیغاتی مزاحم است.

    همین‌طور در مورد لینوکس، کاربر را به یک صفحه دیگر که برای کاربران لینوکس طراحی شده هدایت می‌کند. مهاجمان در پشت این حمله‌ها در واقع کاربران را از تمام بسترها با هر تروجان بانکی و یا کیت‌های بهره‌برداری آلوده نمی‌کنند، بلکه با ابزار تبلیغاتی می‌توانند درآمد زیادی را از طریق تبلیغ به‌دست آورند. 

    مبارزه‌های هرزنامه در فیس‌بوک بسیار معمول است. چند سال پیش محققان، مجرمان اینترنتی را شناسایی کردند که از پرونده‌های تصویری JPG استفاده می‌کردند تا بدافزار خود را پشت آن پنهان کنند و کاربران فیس‌بوک را به باج‌افزاری آلوده کنند که تا زمان پرداخت باج، پرونده‌ها را رمزنگاری و قفل می‌کند. 

    برای حفظ امنیت خود، توصیه می‌شود که نسبت به تصاویر یا پیوندهای ویدیویی ارسال‌شده توسط هر شخصی، حتی دوست خود، بدون تایید خود آنها، کنجکاو نباشید و همیشه نرم‌افزار ضدبدافزار خود را به‌روز نگه دارید.

    کلیک نکنید

    اگر پیام ویدئویی در فیس‌بوک به شما ارسال شد، حتی از طرف دوستان‌تان، روی آن کلیک نکنید

    محققان امنیتی در آزمایشگاه کسپرسکی یک پویش چند‌بستری را در پیام‌رسان فیس‌بوک پیدا کرده‌اند، جایی که کاربران یک پیوند ویدئویی دریافت می‌کنند که از طرف یک وب‌سایت جعلی فرستاده شده و آنها را برای نصب نرم‌افزارهای مخرب ترغیب می‌کند.

    اگرچه هنوز مشخص نیست که بدافزار چگونه گسترش می‌یابد، محققان معتقدند ارسال‌کننده هرزنامه‌ها از حساب‌های آسیب‌‌دیده استفاده می‌کنند، مرورگرها را می‌ربایند و یا روش‌های کلیک‌ربایی را برای گسترش پیوند مخرب استفاده‌می‌کنند. مهاجمان از مهندسی اجتماعی استفاده می‌کنند تا کاربران را به کلیک کردن روی پیوند ویدئویی که ادعا می‌شود از طرف یکی از دوستان فیس‌بوک‌شان است، ترغیب کنند. با پیامی حاوی این مطلب که دوست شما این ویدئو را دنبال می‌کند.

    این URL قربانیان را به گوگل‌داک هدایت می‌کند که تصویر کوچک ویدئویی تولیدشده را به‌صورت پویا نمایش می‌دهد، مانند یک فیلم قابل پخش بر اساس تصاویر فرستنده که در صورت کلیک روی آن، بسته به مرورگر و سیستم‌عامل آنها، کاربران را به یک صفحه سفارشی دیگر متصل می‌کند. به عنوان مثال، کاربران موزیلا فایرفاکس در ویندوز به یک وب‌سایت هدایت می‌شوند که یک اعلان به‌روزرسانی جعلی فلش‌پلیر است و سپس یک پرونده‌ قابل اجرای ویندوز پیشنهاد می‌دهند که به عنوان یک نرم‌افزار تبلیغاتی شناخته شده‌است.

    کاربران گوگل کروم به یک وب‌سایت هدایت می‌شوند که به‌عنوان یوتیوب با نماد مشابه یوتیوب ظاهر می‌شود و یک پیام خطا جعلی را نشان می‌دهد که قربانیان را فریب می‌دهد تا یک افزونه کروم مخرب را از فروشگاه وب گوگل بارگیری کنند. این افزونه در واقع یک ابزار بارگیری است که به انتخاب مهاجم یک پرونده را در رایانه قربانی بارگیری می‌کند

    دیوید یعقوبی، یکی از محققان امنیتی آزمایشگاه کسپرسکی در وبلاگش نوشته‌است: «در زمان نوشتن، پرونده‌ای که باید بارگیری شود در دسترس نبود

    یکی از یافته‌های جالب این است که افزونه کروم پرونده‌ گزارشی را از توسعه‌دهندگان دارد که نام‌های کاربری‌ را نشان می‌دهد. مشخص نیست که این مربوط به مبارزات انتخاباتی باشد، اما هنوز بخش متحیرکننده‌ای از اطلاعات است. کاربران سافاری در سیستم‌های مک اپل شبیه به زمانی که فایرفاکس استفاده‌می‌کنند به یک صفحه وب پایان می‌دهند، اما آن برای کاربران MacOS با یک به‌روزرسانی جعلی برای فلش‌مدیاپلیر سفارشی‌سازی شده که در صورت کلیک، یک پرونده .dmg اجرایی OSX بارگیری می‌شود که یک نرم‌افزار تبلیغاتی مزاحم است.

    همین‌طور در مورد لینوکس، کاربر را به یک صفحه دیگر که برای کاربران لینوکس طراحی شده هدایت می‌کند. مهاجمان در پشت این حمله‌ها در واقع کاربران را از تمام بسترها با هر تروجان بانکی و یا کیت‌های بهره‌برداری آلوده نمی‌کنند، بلکه با ابزار تبلیغاتی می‌توانند درآمد زیادی را از طریق تبلیغ به‌دست آورند

    مبارزه‌های هرزنامه در فیس‌بوک بسیار معمول است. چند سال پیش محققان، مجرمان اینترنتی را شناسایی کردند که از پرونده‌های تصویری JPG استفاده می‌کردند تا بدافزار خود را پشت آن پنهان کنند و کاربران فیس‌بوک را به باج‌افزاری آلوده کنند که تا زمان پرداخت باج، پرونده‌ها را رمزنگاری و قفل می‌کند

    برای حفظ امنیت خود، توصیه می‌شود که نسبت به تصاویر یا پیوندهای ویدیویی ارسال‌شده توسط هر شخصی، حتی دوست خود، بدون تایید خود آنها، کنجکاو نباشید و همیشه نرم‌افزار ضدبدافزار خود را به‌روز نگه دارید.
  • unnamed

    محققان امنیتی باج‌افزاری را در دنیای واقعی مورد بررسی قرار دادند که می‌تواند عملیات خود را در حالت برون‌خط اجرا کند. این باج‌افزار نسخه‌ی جدیدی از CryptoMix است که با نام Error شناخته می‌شود. این نام می‌تواند همچنین به انتهای پرونده‌های رمزنگاری‌شده اضافه شده و بدافزار عملیات خود را بدون نیاز به ارتباطات اینترنتی، ادامه دهد.

    محققان کشف کردند که این باج‌افزار دارای ۱۱ کلید RSA با طول ۱۰۲۴ بیت است که برای رمزنگاری کلیدهای AES مورد استفاده قرار می‌گیرد. کلیدهای رمزنگاری AES نیز برای رمزنگاری پرونده‌ها استفاده می‎شوند. این موضوع به باج‌افزار اجازه می‌دهد تا به حالت کاملاً برون‌خط کار کند.

    در حالی‌که در این باج‌افزار تمامی روش‌های رمزنگاری ثابت باقی مانده ولی گفته می‌شود که یک پیغام باج‌خواهی جدیدی نمایش داده می‌شود. به دلیل اینکه باج‌افزار به‌طور مستقل عمل کرده و نیازی به ارتباط با کارگزار دستور و کنترل ندارد، شناسایی آن برای راه‌کارهای امنیتی قدیمی سخت می‌شود.