انتشار همزمان Locky و GlobeImposter؛ ایران، یکی از فرستندگان اصلی هرزنامه‌های ناقل

شرکت ضدویروس TrendMicro از فعالیت گسترده کارزارهایی هرزنامه‌ای خبر داده که هدف آنها توزیع دو باج‌افزار مخرب Locky و GlobeImposter گزارش شده است.

هرزنامه‌های مذکور در ظاهر یک صورتحساب الکترونیکی حاوی لینک و پیوستی مخرب هستند.

به گزارش شرکت مهندسی شبکه گستر، پیوست این هرزنامه‌ها فایلی فشرده شده با پسوند 7z یا 7zip است. اسکریپت درون فایل فشرده شده و فایلی که لینک درج شده در متن هرزنامه به آن اشاره می‌کند با وجود شباهت هایی که دارند به نشانی‌های متفاوتی متصل می‌شوند.

اسکریپت دریافت شده از طریق لینک درون هرزنامه، حاوی نشانی‌های زیر است:

• geolearner[.]com/JIKJHgft?
• naturofind[.]org/p66/JIKJHgft
• cabbiemail[.]com/JIKJHgft?

اما اسکریپت درون فایل فشرده شده پیوست هرزنامه، نشانی‌های زیر را در خود دارند:

• m-tensou[.]net/JIKJHgft?
• naturofind[.]org/p66/JIKJHgft

نکته قابل توجه اینکه هر یک از نشانی‌های مذکور، برای دوره‌ای به فایل مخرب اجرایی نسخه lukitus و برای دوره‌ای دیگر به فایل اجرا کننده GlobeImposter اشاره می‌کنند.

این تغییر و جایگزینی درعمل سبب می‌شود که سازمان به طور همزمان هدف دو باج‌افزار قرار گیرد.

شرکت TrendMicro بر اساس نشانی‌های IP رصد شده، اعلام کرده که هرزنامه‌های مذکور از 185 کشورارسال شده‌اند. ضمن اینکه سه کشور هند، ویتنام و ایران بیشترین سهم از این ارسال‌ها را به خود اختصاص داده‌اند.

توضیح اینکه نمونه‌های بررسی اشاره شده در این خبر با نام‌های زیر شناسایی می‌شوند.

McAfee
   – VBS/Downloader.ea
   – Generic Downloader.z
   – RDN/Ransom
   – Ransomware-GBY!2291E9935582

Bitdefender
   – Trojan.VBS.Downloader.ADR
   – Trojan.GenericKD.5942787
   – Trojan.Ransom.CerberKD.5941322

جزئیات بیشتر در خصوص باج‌افزار Locky در اینجا  و خصوصیات باج‌افزار GlobeImposter در اینجا قابل دریافت و مطالعه است.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.