باجافزارهای رمزگذار را میتوان یکی از مخربترین و همچنین رایجترین تهدیدات سال های اخیر قلمداد کرد. یکی از عوامل نگرانکننده که انتظار میرود سبب افزایش انتشار و گسترش این نوع بدافزارها شود عرضه باجافزار در قالب خدماتی موسوم به Ransomware-as-a-Service است. در این روش، نویسنده باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی میرسد.
به گزارش شرکت مهندسی شبکه گستر، گونه جدیدی از باجافزارها با نام FrozrLock در قالب باجافزار بهعنوان سرویس در Dark Web با قیمت 0.14 بیتکوین (حدود 220 دلار) به فروش میرسد.
گرداننده یا گردانندگان آن، FrozrLock را بهعنوان یک ابزار امنیتی عالی برای رمزگذاری اکثر فایلها در مدتی کوتاه توصیف میکنند.
گفته میشود اولین نمونه شناسایی شده از این باجافزار در کشور روسیه بوده که از طریق فایلهای موسوم به JS Downloader به دستگاه راه یافته بود.
بر اساس توضیحات سایتی که FrozrLock در آن عرضه میشود، این باجافزار دارای ویژگیها و قابلیتهای زیر است:
- به زبان #C نوشته شده است.
- پسوند فایلهای رمزگذاری شده را تغییر نمیدهد.
- در صورت پرداخت باج، میتواند خود را از روی سیستم قربانی حذف کند.
- امکان استفاده از الگوریتمهای Twofish256،و AES256 و RSA4096 را در خود دارد.
- در هر رمزگذاری از کلیدی یکتا و منحصربهفرد استفاده میشود.
- متقاضیان بدخواه این خدمت میتوانند هر تعداد نسخه متفاوت از آن را داشته باشند.
ابزاری نیز برای رمزگشایی فایلهای رمز شده در اختیار مشتریان این سرویس قرار داده میشود تا در صورت پرداخت باج توسط قربانی آن را با توضیحاتی سفارشی به او ارسال کنند.
برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای Macro پیامی ظاهر شده و از کاربر میخواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.