باز هم یک باج‌افزار فارسی دیگر

باج‌افزار جدیدی موسوم به WannaSmile در حال انتشار است که فایل‌های پراستفاده و بااهمیت را با الگوریتم‌های AES/RSA رمزگذاری کرده و در ازای بازگرداندن آنها بحالت قبل، از کاربر مبلغ 20 بیت‌کوین اخاذی می‌کند.

نکته قابل توجه در خصوص این باج‌افزار، فارسی بودن اطلاعیه باج‌گیری آن است که نمونه‌ای از آن در تصویر زیر نمایش داده شده است:

مشخص است که هدف اصلی WannaSmile شرکت‌ها و سازمان‌های ایرانی و فارسی زبان است. هر چند که کاربران و سازمان‌های غیرایرانی نیز از گزند آن مصون نیستند.

به گزارش شرکت مهندسی شبکه گستر، در این اطلاعیه از کاربر خواسته می‌شود تا ظرف پنج روز مبلغ 20 بیت‌کوین را به نشانی کیف بیت‌کوین درج شده در اطلاعیه واریز کرده و موضوع را از طریق ایمیل wannasmile@tuta.io به گردانندگان این باج‌افزار اطلاع دهد. در این اطلاعیه هشدار داده شده که در صورت عدم پرداخت باج در مهلت تعیین شده هر روز یک بیت‌کوین به مبلغ اصلی افزوده خواهد شد.

در زمان نگارش این خبر ارزش هر بیت‌کوین، 8025 دلار است که با احتساب هر دلار 4 هزار تومان مبلغ اخاذی شده توسط این باج‌افزار، به مبلغ 642 میلیون تومان می‌رسیم که مبلغی غیرمعمول در میان باج‌افزارها محسوب می‌شود.

همچنین در اطلاعیه مذکور نشانی چند سایت اینترنتی نیز برای خرید بیت‌کوین در ایران معرفی شده است.

این باج‌افزار به فایل‌های رمزگذاری شده پسوند WSmile. را الصاق می‌کند.

در جریان آلوده شدن دستگاه، فایل‌های زیر بر روی دستگاه ایجاد می‌شوند:

• % APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WannaSmile.lnk 
• % APPDATA%\WannaSmile.exe 
• %APPDATA%\public.key
• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt files.html

به نظر می‌رسد که WannaSmile نسخه‌ای برگرفته شده از باج‌افزار ZCrypt است.

حدود یک ماه پیش نیز باج‌افزار فارسی دیگری با عنوان Tyrant کاربران ایرانی را هدف قرار داده بود.

توضیح اینکه نمونه بررسی شده در این خبر با نام های زیر شناسایی می‌شود:

McAfee:
   – Artemis!E99CABC8FD75

Bitdefender:
   – Gen:Heur.ZCrypt.1

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های ماکرو پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.