بررسی نسخه جدید باجافزار Scarab
نسخه جدیدی از باجافزار Scarab از طریق شبکه مخرب Necurs و در قالب هرزنامههای با پیوست 7z کاربران را هدف قرار داده است.
نخستین نسخه از باجافزار Scarab در ماه ژوئن سال میلادی جاری شناسایی شده بود.
به گزارش شرکت مهندسی شبکه گستر، عنوان هرزنامههای ارسالی “{Scanned from {printer company name” است که در آن {printer company name} با نام یکی از شرکتهای سازنده چاپگر همچون Cannon و HP جایگزین میشود.
فایل 7z پیوست شده به هرزنامه نیز، خود حاوی یک فایل VBScript است که نقش دریافتکننده فایل مخرب Scarab را بر عهده دارد. در کد VBScript نام برخی شخصیتهای سریال “بازی تخت و تاج” نظیر Samwell و JohnSnow به چشم میخورد.
همچنین سرورهایی که VBScript، فایل مخرب را از آنها دریافت میکند سایتهای هک شدهای هستند که پیشتر نیز توسط شبکه مخرب Necurs مورد استفاده قرار گرفته بودند.
پس از دریافت، فایل مخرب در مسیر زیر ذخیره میشود:
%Application Data%\sevnz.exe
در ادامه کلید زیر نیز در محضرخانه ایجاد میشوند:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce uSjBVNE = "%Application Data%\sevnz.exe
هدف از ایجاد این کلید اجرای فایل باجافزار در هر بار راهاندازی شدن سیستم است.
پس از آن، فایلهای بر روی دستگاه رمزگذاری شده و به آنها پسوند “suupport@protonmail.com].scarab].” الصاق میشود.
همچنین اطلاعیه باجگیری با عنوان “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” در هر پوشهای که حداقل یکی از فایلهای آنها رمزگذاری شده کپی میشود.
املای نادرست کلمه suupport هم در پسوند الصاقی و هم در اطلاعیه باجگیری به چشم میخورد. احتمالاً دلیل این موضوع در دسترس نبودن کلمه support بر روی سرویس دهنده ایمیل ProtonMail بوده است.
در اطلاعیه باجگیری این نسخه از Scarab از قربانی خواسته شده تا از طریق ایمیل اقدام به برای برقراری ارتباط با گردانندگان باجافزار کند. اما تجربه نشان داده که معمولاً سرویسدهندگان ایمیل پس از آگاهی از استفاده تبهکاران سایبری از خدمات آنها، صندوق پستی مربوطه را مسدود میکنند. بنابراین در اطلاعیه مذکور راه دومی نیز برای برقراری ارتباط با مهاجمان – استفاده از پودمان BitMessage – ارائه شده است.
همچنین Scarab با اجرای فرامین زیر فایلهای موسوم به Shadow Copy را حذف کرده و قابلیت بازگردانی از طریق سیستم عامل Windows را غیرفعال میکند:
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
توضیح اینکه فایلهای استفاده شده در نسخه بررسی شده در این خبر با نامهای زیر شناسایی میشوند:
McAfee:
– JS/Downloader.gen.ft
– Generic Trojan.i
Bitdefender:
– Trojan.VBS.Downloader.AFC
– Trojan.GenericKD.12609597
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای ماکرو پیامی ظاهر شده و از کاربر خواسته میشود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.