انتشار گسترده باج‌افزار SynAck

طی روزهای اخیر باج‌افزار جدیدی با عنوان SynAck دستگاه‌های متعددی را در کشورهای مختلف آلوده کرده است.

تا این لحظه سه نمونه اطلاعیه باج‌گیری زیر از SynAck گزارش شده است.

به گزارش شرکت مهندسی شبکه گستر، SynAck فاقد پورتال برای پرداخت باج در Dark Web بوده و در اطلاعیه باج‌گیری از قربانی خواسته می‌شود تا از طریق ایمیل یا BitMessage با این تبهکاران سایبری تماس حاصل کند.

برخلاف باج‌افزارهای رایج SynAck تصویر پس‌زمینه میز کار Windows را تغییر نداده و تنها فایلی با عنوان RESTORE_INFO-[id].txt که در آن id شناسه دستگاه آلوده شده است بر روی میزکار ایجاد می‌شود.

همچنین به هر کدام از فایل‌های رمزگذاری شده نیز پسوندی متشکل از 10 نویسه تصادفی به ازای هر فایل الصاق می‌شود.

کارشناسان معتقدند منبع این آلودگی‌ها، حملاتی است که در بستر پودمان Remote Desktop به صورت سعی و خطا (Brute Force)  اجرا می‌شوند.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• از غیرفعال بودن پودمان Remote Desktop بر روی دستگاه‌هایی که به این پودمان نیاز ندارند اطمینان حاصل کنید. دسترسی به دستگاه‌ها از طریق این پودمان را هم محدود به کاربرانی با گذرواژه پیچیده و قدرتمند کنید.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.