ابزارهای جدید و رایگانی برای کمک به رمزگشایی و بازگرداندن فایلهای رمز شده توسط دو باج افزار نسبتاً جدید Bart و PowerWare منتشر شده است.
به گزارش شرکت مهندسی شبکه گستر، باج افزار PowerWare یا PoshCoder برای اولین بار در اواخر اسفند ماه سال گذشته در جریان حملات متعدد علیه مراکز بهداشتی و درمانی شناسایی شد. این باج افزار مورد توجه خاص قرار گرفت زیرا در محیط Windows PowerShell به اجرا در می آمد. محیط Windows PowerShell یک بستر برنامه نویسی است برای اجرای خودکار بسیاری از فرامین و وظائف مدیریتی سیستم و برنامه های کاربردی.
کارشناسان شرکت امنیتی Palo Alto اخیراً گونه جدیدی از باج افزار PowerWare را کشف کرده اند که سعی در تقلید از رفتارهای باج افزار مشهور Locky دارد. فایلهای رمزگذاری شده خود را با پسوند locky. ذخیره می کند و همچنین پیام هشداری که به کاربر نشان می دهد، کلمه به کلمه مشابه پیام Locky است. البته این بار اول نیست که باج افزار PowerWare دست به چنین تقلیدی می زند. در ماههای گذشته، گونه های دیگری از این باج افزار مشاهده شده که سعی در تقلید از باج افزارهای مشهور، نظیر CryptoWall و TeslaCrypt، داشته اند.
خوشبختانه باج افزار PowerWare به هیچ عنوان به پیچیدگی و دشواری این باج افزارهای مشهور که تلاش به تقلید از آنها دارد، نیست. کلید رمزگشایی فایلهای رمزگذاری شده توسط PowerWare در داخل برنامه باج افزار مخفی و پنهان است. اکنون کارشناسان شرکت Palo Alto موفق به کشف این کلید شده و بر اساس آن، ابزاری برای رمزگشایی فایلهای رمز شده PowerWare تهیه و منتشر کرده اند.
همچنین کارشناسان شرکت ضدویروس AVG موفق شده اند رمزگذاری باج افزار Bart را که حدود یکماه پیش ظهور کرد، بشکنند و ابزاری برای بازگرداندن فایلهای رمزگذاری شده به حالت اولیه تهیه و منتشر کنند.
باج افزار Bart از بابت نحوه رمزگذاری فایلها با بسیاری از باج افزارهای دیگر متفاوت است. این باج افزار به جای رمزگذاری فایلهای قربانی، آنها را در یک فایل فشرده ZIP که دارای رمز عبور است، ذخیره و نگهداری می کند. فایلهای فشرده شده دارای پسوند bart.zip. هستند.
رمز فایل فشرده ZIP یک عبارت بسیار طولانی و پیچیده است ولی کارشناسان شرکت AVG توانسته اند به روش سعی و خطا (brute-force) راهی برای حدس زدن رمز پیدا کنند.
ابزار رایگانی که AVG تهیه کرده احتیاج به حداقل یک نسخه سالم از یک فایل فشرده شده توسط باج افزار Bart دارد. این ابزار پس از مقایسه دو فایل، شروع به حدس زدن رمز فایل ZIP می کند. البته این روش سعی و خطا وقت گیر است و حتی شاید چند روز به طول بکشد تا نتیجه بدهد.
ضمن قدردانی از تلاش این کارشناسان امنیتی برای تهیه چنین ابزارهایی، ناگفته نماند که نویسندگان این باج افزارها همواره در حال رفع نواقص و افزودن امکانات جدید در برنامه های خود هستند و کارآیی این نوع ابزارها فقط برای مدت محدودی، قبل از انتشار گونه های جدید باج افزار، است. لذا پیشگیری همیشه بهتر از درمان می باشد.
برای ایمن ماندن از گزند باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.