هفته گذشته در اتاق خبر شرکت مهندسی شبکه گستر به بررسی باج افزار CryptXX پرداختیم. در بخشی از آن مطلب به ابزاری از شرکت ضدویروس Kaspersky اشاره شده بود که با بهره گیری از نقطه ضعفی در این باج افزار فایل های رمز شده را رمزگشایی می کرد. هر چند نویسندگان این باج افزار در نسخه جدید توانستند حداقل برای مدتی آن ابزار را ناکارامد کنند، اما به نظر می رسد هنوز موفق به ترمیم کامل ضعف امنیتی مذکور نشده اند.
به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Proofpoint که تکامل پیوسته این باج افزار را زیر ذره بین دارند از کشف نسخه جدیدی از باج افزار CryptXXX خبر داده اند که تغییری اساسی در مقایسه با نسخه های پیشین خود نموده است.
در این نسخه جدید، بر خلاف روش رایج باج افزارهای رمزنگار، با نمایش تصویری مشابه شکل زیر، دستگاه آلوده شده برای کاربر غیرقابل استفاده می شود.
در بخشی از پیام نمایش داده شده آمده: “شما دو راه برای انتخاب دارید: منتظر یک معجزه باشید و مبلغ باج را دو برابر کنید، یا همین حالا اقدام به تهیه بیت کوین کرده و دادها هایتان را به راحتی بازیابی کنید.”
با توجه به قفل شدن دستگاه، کاربر برای تهیه بیت کوین و پرداخت باج می بایست از دستگاهی دیگر استفاده کند.
محققان Proofpoint در ابتدا احتمال می دادند که نویسندگان باج افزار CryptXXX از این طریق قصد داشته اند که از پایش شدن دستگاه توسط ابزار شرکت Kaspersky جلوگیری کنند. اما با بررسی بیشتر مشخص می شود که ابزار Kaspersky قادر به رمزگشایی فایل های رمز شده توسط نسخه جدید CryptXXX نیست.
هر چند شرکت Kaspersky با عرضه نسخه جدیدی از ابزار خود مجدداً توانست که از ضعف امنیتی موجود در این بدافزار به منظور رمزگشایی فایل های رمز شده استفاده کند اما انتظار می رود نویسندگان CryptXXX خیلی زود این ضعف امنیتی را بطور کامل ترمیم کنند.
بنابراین برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید. توضیح اینکه نسخه جدید باج افزار CryptXXX با ضدبدافزارهای McAfee و Bitdefender بترتیب با با نام های RDN/Ransom و Trojan.Generic.16764573 شناسایی می شود.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.