شرکت ضدویروس TrendMicro از فعالیت گسترده کارزارهایی هرزنامهای خبر داده که هدف آنها توزیع دو باجافزار مخرب Locky و GlobeImposter گزارش شده است.
هرزنامههای مذکور در ظاهر یک صورتحساب الکترونیکی حاوی لینک و پیوستی مخرب هستند.
به گزارش شرکت مهندسی شبکه گستر، پیوست این هرزنامهها فایلی فشرده شده با پسوند 7z یا 7zip است. اسکریپت درون فایل فشرده شده و فایلی که لینک درج شده در متن هرزنامه به آن اشاره میکند با وجود شباهت هایی که دارند به نشانیهای متفاوتی متصل میشوند.
اسکریپت دریافت شده از طریق لینک درون هرزنامه، حاوی نشانیهای زیر است:
- geolearner[.]com/JIKJHgft?
- naturofind[.]org/p66/JIKJHgft
- cabbiemail[.]com/JIKJHgft?
اما اسکریپت درون فایل فشرده شده پیوست هرزنامه، نشانیهای زیر را در خود دارند:
- m-tensou[.]net/JIKJHgft?
- naturofind[.]org/p66/JIKJHgft
نکته قابل توجه اینکه هر یک از نشانیهای مذکور، برای دورهای به فایل مخرب اجرایی نسخه lukitus و برای دورهای دیگر به فایل اجرا کننده GlobeImposter اشاره میکنند.
این تغییر و جایگزینی درعمل سبب میشود که سازمان به طور همزمان هدف دو باجافزار قرار گیرد.
شرکت TrendMicro بر اساس نشانیهای IP رصد شده، اعلام کرده که هرزنامههای مذکور از 185 کشورارسال شدهاند. ضمن اینکه سه کشور هند، ویتنام و ایران بیشترین سهم از این ارسالها را به خود اختصاص دادهاند.
توضیح اینکه نمونههای بررسی اشاره شده در این خبر با نامهای زیر شناسایی میشوند.
McAfee
– VBS/Downloader.ea
– Generic Downloader.z
– RDN/Ransom
– Ransomware-GBY!2291E9935582
Bitdefender
– Trojan.VBS.Downloader.ADR
– Trojan.GenericKD.5942787
– Trojan.Ransom.CerberKD.5941322
جزئیات بیشتر در خصوص باجافزار Locky در اینجا و خصوصیات باجافزار GlobeImposter در اینجا قابل دریافت و مطالعه است.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای Macro پیامی ظاهر شده و از کاربر خواسته میشود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.