باج‌افزار چندقفله

به گزارش شرکت مهندسی شبکه گستر محققان از انتشار باج‌افزاری با نام CryPy خبر داده‌اند که برای رمزنگاری هر فایل از کلیدی یکتا و منحصربه‌فرد استفاده می‌کند.

تا پیش از این گونه های پیشرفته باج افزارها به ازای هر دستگاه آلوده شده – و نه هر فایل – یک کلید رمزنگاری ایجاد می کردند.

نام CryPy از دو کلمه از Crypt و Python که باج افزار به آن زبان نوشته شده برگرفته شده است.

استفاده از کلیدی یکتا برای رمزنگاری هر فایل، به ویروس‌نویس امکان می‌دهد که فایل‌های رمزشده دستگاه قربانی را به‌صورت انتخابی رمزگشایی کند. احتمالاً هدف از این کار اخاذی بیشتر از است.

گرداننده یا گردانندگان این باج افزار با سوءاستفاده از ضعف امنیتی در سیستم مدیریت محتوای Magento یک اسکریپت PHP Shell را به سایت های آسیب پذیر تزریق می کنند. به گفته محققان کاشف این باج افزار، سایت هایی که در این حملات از آنها بهره جویی شده در فلسطین اشغالی قرار دارند. این سایت های آلوده شده به عنوان سرور فرماندهی CryPy عمل می کنند. ضمن اینکه گفته می شود از آنها برای اجرای حملات فیشینگ (Phishing) نیز استفاده می شود. به نظر می رسد که گردانندگان CryPy، عبری زبان هستند.

CryPy از دو فایل با نام های boot_common.py و encryptor.py تشکیل شده است. فایل نخست وظیفه ثبت خطا بر روی سیستم های عامل Windows و فایل دوم کار رمزنگاری را بر عهده دارد.

به محض آلوده شدن دستگاه، CryPy بخش های Registry،وTask Manager،وCMD و Run را که ممکن است از آنها برای متوقف کردن پروسه باج افزار استفاده شود غیرفعال می کند. پس از آن فرآیند رمزنگاری شروع می شود.

در پایان سوابق Restore Point سیستم عامل Windows حذف شده و پیام زیر در فایلی با عنوان README_FOR_DECRYPT.txt ذخیره می شود.

با وجود تمامی این توضیحات خوشبختانه این باج افزار در مراحل ابتدایی خود قرار دارد و هنوز بخش هایی از آنها نیازمند بهبود است. اما کاملاً مشخص است که خیلی زود اشکالات موجود در CryPy برطرف خواهد شد و چه بسا ویروس نویسان بیشتری به سمت رویکرد استفاده از کلید یکتا برای رمزنگاری هر فایل بروند.

رعایت موارد زیر، آسان ترین و ارزان ترین راه برای حفاظت از اطلاعات در برابر خرابکاران و مجرمان باجگیر است:

• از ضدویروس قدرتمند و به روز استفاده کنید.
• از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
• ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
• به کاربران در خصوص خطرات باج افزارها اطلاع رسانی کنید. برای این منظور می توانید از این داده نمایی ها استفاده کنید.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.