به گزارش شرکت مهندسی شبکه گستر، نسخه جدیدی از باجافزار مخرب Locky از طریق هرزنامههایی با عنوان Status of invoice در حال انتشار است که پسوند فایلهای رمزگذاری شده را به ykcol. تغییر میدهد.
پیوست این هرزنامهها که فایلی فشرده شده با پسوند 7z است حاوی یک اسکریپت VBS میباشد. نقش این اسکریپت دریافت فایل اجرایی Locky از اینترنت و اجرای آن بر روی دستگاه قربانی است.
استفاده از سیستم فشرده سازی 7z در میان ارسال کنندگان هرزنامه و انتشار دهندگان بدافزار متداول نیست. چرا که بازگشایی آن مستلزم وجود نرمافزار یا ابزار برای این منظور است که به صورت پیش فرض در سیستم عامل Windows وجود ندارد. احتمالاً گردانندگان این نسخه از Locky با استفاده از 7z قصد عبور از سد ابزارهای ضدهرزنامه سرویسدهندگان ایمیلی همچون Gmail را داشتهاند.
علاوه بر تغییر پسوند فایلهای رمزگذاری شده توسط این نسخه از Locky نام این فایلها نیز بر اساس الگوی زیر تغییر داده میشود:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol
برای مثال نام و پسوند فایلی با نام 1 و با پسوند png. پس از رمزگذاری شدن به E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol تغییر داده میشود.
پس از اتمام فرآیند رمزگذاری فایلها، فایل اجرایی دریافت شده از اینترنت از روی دستگاه حذف شده و اطلاعیه باجگیری که در آن نحوه پرداخت باج 0.25 بیتکوینی شرح داده شده نمایش داده میشود.
فایلهای اطلاعیه باجگیری در این نسخه ykcol.htm و ykcol.bmp نام دارند.
متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
لازم به ذکر است نمونه هایی از آلودگی به نسخه جدید در داخل کشور نیز به این شرکت گزارش شده است.
جزئیات بیشتر در خصوص باجافزار Locky در اینجا قابل دریافت و مطالعه است.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروس های McAfee و Bitdefender به ترتیب با نام های Ransomware-Cerber و Trojan.RanSerKD.6007737 شناسایی می شود.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای Macro پیامی ظاهر شده و از کاربر خواسته میشود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.