باز هم کشف نسخه‌ای جدید از باج‌افزار CryptoMix

در ادامه انتشار نسخه‌های متعدد جدیدی از CryptoMix، برخی منابع از کشف نسخه ای از این باج‌افزار خبر داده اند که ضمن تغییر نام فایل‌های رمزگذاری شده، پسوند Tastylock. را به آنها الصاق می‌کند.

به گزارش شرکت مهندسی شبکه گستر، روش‌های رمزگذاری این باج‌افزار نسبت به نسخه‌های پیشین آن تغییری نداشته است.

در نسخه جدید نیز همانند نسخه قبلی این باج‌افزار، فایل مربوط به اطلاعیه باج‌گیری HELP_INSTRUCTION.TXT_ نام دارد. در فایل مذکور از قربانی خواسته می‌شود که برای دریافت دستورالعمل پرداخت باج با نشانی t_tasty@aol.com تماس حاصل کند.

باز هم همچون نسخه پیشین، فایل مخرب این نسخه نیز، با نامی تصادفی در مسیر C:\ProgramData ذخیره می‌شود.

باج‌افزار CryptoMix با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف می‌کند:

• sc stop wscsvc
• sc stop WinDefend
• sc stop wuauserv
• sc stop BITS
• sc stop ERSvc
• sc stop WerSvc

همچنین این باج‌افزار به‌منظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخه‌های Windows Shadow Volume از فرامین زیر استفاده می‌کند:

• cmd.exe /C bcdedit /set {default} recoveryenabled No
• cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
• C:\Windows\System32\cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet

ضدویروس‌های McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نام‌های Generic.cwz و Generic.Ransom.Mole.824DEC5F شناسایی می‌کنند.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.