موج گسترده جدیدی از هرزنامه (spam)های حاوی باج افزار مشهور Locky از اواخر هفته گذشته آغاز شده است. میزان ارسال این ایمیل آلوده تاکنون بی سابقه بوده است. از کاربران خواسته می شود تا بیشتر از گذشته نسبت به ایمیل های دریافتی هوشیار باشند.
طبق گزارش شرکت مهندسی شبکه گستر و به نقل از شرکت ضدویروس F-Secure، از اواخر هفته گذشته دو موج جدید از ایمیل های حاوی پیوست آلوده به باج افزار Locky مشاهده شده است. در اوج این فعالیت جدید Locky، تعداد ایمیل های ارسالی به بیش از 120 هزار ایمیل در ساعت رسیده است.
اغلب این هرزنامه ها تحت عنوان صورتحساب (invoice)، مدارک (document)، مدارک اسکن شده (scanned) و در پاره ای موارد فاقد عنوان هستند و تنها علائم پاسخ (:RE) یا ارسال مجدد (:FW) دارند.
فایل پیوست آدارای قالب ZIP است و حاوی یک برنامه JavaScript آلوده می باشد. اجرای این برنامه آلوده توسط کاربر یک اشتباه بزرگ خواهد بود و می تواند منجر به آلودگی به باج افزار Locky و بروز عواقب غیرقابل جبران آن شود.
در ماههای اخیر استفاده از JavaScript بین بدافزارنویسان محبوبیت پیدا کرده است. اجرای برنامه های JavaScript نیازمند نرم افزار کاربردی خاصی نیست و بر روی سیستم عامل Windows مستقلاً قابل اجرا است.
برای ایمن ماندن از گزند باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.