به گزارش شرکت مهندسی شبکه گستر بر طبق بررسی های انجام شده توسط محققان شرکت SentinelOne، گونه جدیدی از باج افزار CryptXXX در مدت دو هفته نزدیک به 50 هزار دلار را نصیب نویسندگان آن کرده است.
CryptXXX بدافزاری از نوع باج افزار (Rnasomware) است که نخستین گونه آن در اردیبهشت ماه کشف و شناسایی است.
علاوه بر رمزنگاری داده های کاربر این باج افزار اقدام به سرقت پول های دیجیتالی بیت کوین قربانی نیز می کند.
نسخه های اول و دوم این باج افزار دارای حفره ای امنیتی بودند که سبب شد یکی از شرکت های ضدویروس ابزاری برای بهره جویی از آن حفره به منظور رمزگشایی فایل های رمز شده توسط CryptXXX عرضه کند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت SentinelOne، گونه جدید این باج افزار چند تغییر اساسی داشته است.
اولین تغییر اینکه در گونه جدید از ترکیب الگوریتم های رمزنگاری RSA و RC4 استفاده شده است. تغییر دوم ترمیم ضعف امنیتی موجود در گونه های پیشین آن است که سبب ناکارآمدی ابزار رمزگشایی می شود. تغییر قابل توجه دیگر هم اینکه در گونه جدید نسخه های Shadow Volume نیز توسط باج افزار از روی دستگاه قربانی حذف می شوند.
بهبودهای صورت گرفته در گونه جدید سبب شده که هیچ راهی جز پرداخت باج برای قربانیان باقی گذاشته نشود.
بررسی گزارش واریزهای صورت گرفته به شماره بیت کوین ذکر شده توسط باج گیران نشان می دهد که از 15 خرداد تا اول تیر ماه مبلغ 70 بیت کوین (معادل 49,700 دلار) توسط قربانیان پرداخت شده است.
با وجود سوددهی چنین باج گیری هایی، واضح و روشن است که دنیای فناوری اطلاعات هر روز شاهد تعداد بیشتری از این گونه بدافزارها خواهد بود.
بنابراین برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.