بازگشت Locky

به گزارش شرکت مهندسی شبکه گستر، در حالی که انتشار باج‌افزار Locky به دلایل نامعلوم برای مدتی متوقف شده بود چند روزی است که موج تازه‌ای از هرزنامه‌ها، انتشار این باج‌افزار مخرب را از سر گرفته‌اند.

برخی از نمونه عناوین استفاده شده در این هرزنامه‌ها عبارتند از:

• Receipt 435
• Payment Receipt 2724
• Payment-2677
• Payment Receipt_739
• Payment#229

پیوست این هرزنامه‌ها فایلی PDF با نام P72732.pdf است. با باز شدن آن پیامی ظاهر شده و از کاربر خواسته می‌شود تا با کلیک بر روی دگمه OK مجوز باز شدن یک فایل Word را صادر کند.

در صورتی که کاربر بر روی دگمه مذکور کلیک کند یک فایل Word اجرا می‌شود که در آن با بهره‌گیری از روش‌های اجتماعی کاربر تشویق به فعال نمودن بخش ماکرو در نرم‌افزار Office می‌شود.

با فعال شدن ماکرو فایل باج‌افزار از مسیر hXXp:// uwdesign .com.br/9yg65 دریافت شده و پس از رمزگذاری شدن با نام redchip2.exe در پوشه %Temp% ذخیره می‌شود.

در ادامه فایل مذکور اجرا شده و فرآیند رمزگذاری فایل‌های کاربر آغاز می‌گردد.

مشابه نسخه‌های پیشین، Locky با اجرای فرمان زیر فایل‌های مربوط به Shadow Volume را از روی سیستم قربانی حذف می‌کند.

vssadmin.exe Delete Shadows /Quiet /All

همچنین همچون نسخه‌های آخر آن، به فایل‌های رمز شده پسوند OSIRIS. الصاق می‌شود.

در زمان رمزگذاری، باج‌افزار به‌صورت پیوسته وضعیت خود را به سرور فرماندهی به نشانی 188.120.239.230 و 80.85.158.212 ارسال می‌کند.

در نهایت با اتمام رمزگذاری، اطلاعیه باج‌گیری ظاهر نمایش می‌یابد.

جزییات کامل در خصوص باج‌افزار Locky در اینجا قابل دریافت و مطالعه است.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید. 
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.