کاربران ایرانی، باز هم هدف نسخه Java باج‌افزار CrySis

در روزهای اخیر گزارش‌هایی در خصوص مشاهده آلودگی به جدیدترین نسخه از باج‌افزار CrySis در برخی مؤسسات کشور به شرکت مهندسی شبکه گستر واصل شده است.

در نسخه مذکور، پسوند فایل‌های رمزگذاری شده به java. تغییر داده می‌شود.

مدتی پیش نیز این نسخه بطور گسترده کاربران ایرانی را هدف قرار داده بود.

باج‌افزار CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – پس از نصب شدن، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های پسوندهای خاص پویش کرده و سپس آنها را رمزگذاری می‌کند.

باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود.

بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.

در این نسخه، نام و پسوند فایل‌های رمزگذاری شده بر اساس یکی از الگوهای زیر تغییر داده می‌شود:

• [file name and extension].id-1EB692EC.[decrypthelp@qq.com].java
• [file name and extension].id-406B4F5A.[black.mirror@qq.com].java
• [file name and extension].id-B8F053EC.[sabantui@tutanota.com].java
• [file name and extension].id-5CC6D919.[Devicerestore@india.com].java
• [file name and extension].id-30B3DDC1.[mazma@india.com].java
• [file name and extension].id-4A39E43D.{zacappa@c o ck.li}.java
• [file name and extension].id-183155B0.[absolut.ep@aol.com].java

برای مثال عنوان فایلی با نام test.jpg پس از رمزگذاری شدن به test.jpg. id-1EB692EC.[decrypthelp@qq.com].java تغییر داده می‌شود.

متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

جزئیات فنی در خصوص باج‌افزار Crysis در اینجا قابل دریافت و مطالعه است.

باج‌افزار CrySis از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP اقدام به آلوده‌سازی آنها می‌کنند.

پودمان RDP قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم می‌کند.

علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاه‌های کاری سازمان استفاده می‌کنند، در بسیاری از سازمان‌های کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده می‌شود.

تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force می‌کنند.

هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نام‌های کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.

در صورت برقرار شدن اتصال، مهاجمان نرم‌افزاری را بر روی سرور اجرا کرده و از آن برای دست‌درازی به تنظیمات و سرویس‌های نرم‌افزارهای ضدبدافزار، پشتیبان‌گیری و پایگاه داده نصب شده بر روی آن استفاده می‌کنند. در ادامه نیز فایل مخرب باج‌افزار را دریافت کرده و بر روی سرور به اجرا در می‌آورند.

رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیت‌آمیز چنین حملاتی توصیه می‌شود:

• بکارگیری ضدویروس به‌روز و قدرتمند
• استفاده از دیواره آتش
• استفاده از رمزهای عبور پیچیده
• اطمینان از نصب بودن تمامی اصلاحیه‌های امنیتی
• غیرفعال نمودن پودمان RDP در صورت عدم نیاز به آن
• استفاده از پودمان VPN یا Virtual Private Network برای اتصال از راه دور کارکنان و پیمانکاران سازمان
• بهره‌گیری از اصالت‌سنجی دو مرحله‌ای (2FA)، در صورت امکان
• فعال کردن Account Lockout Policy در تنظیمات Group Policy