انتشار نسخه جدیدی از باج‌افزار GandCrab

هفته گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایل‌های رمز شده توسط باج‌افزار GandCrab کرد. همانطور که در خبر اشاره شده بود این شرکت با در اختیار داشتن کلیدهای رمزگذاری موفق به ساخت این ابزار شده بود. برخی منابع اعلام کرده بودند که Bitdefender یا نهادهای قانونی بنحوی موفق به هک سرورهای فرماندهی این باج‌افزار شده‌اند و از این راه به کلیدها دست یافته بودند.

به گزارش شرکت مهندسی شبکه گستر، اکنون نویسندگان GandCrab نسخه دیگری از این باج‌افزار را منتشر کرده‌اند که در آن از سرورهای فرماندهی جدیدی احتمالاً با حفاظت امنیتی بالاتر و آسیب‌پذیری کمتر استفاده شده است.

نشانی‌های دامنه سرور فرماندهی به شرح زیر است:

  • olitiaromana.bit
  • malwarehunterteam.bit
  • gdcb.bit

همچنین در نسخه جدید پسوند فایل‌های رمزگذاری شده به CRAB تغییر داده می‌شود.

در نسخه‌های پیشین به فایل‌های رمز شده پسوند GDCB الصاق می‌شد.

عنوان فایل اطلاعیه باج‌گیری نیز به CRAB-Decrypt.txt تغییر یافته است. در این اطلاعیه از کاربر خواسته می‌شود تا از طریق پیام‌رسان Tox با مهاجمان تماس گرفته شود.

در سامانه پرداخت باج که از طریق شبکه ناشناس TOR قابل دسترس است تغییراتی اعمال شده است.

لازم به ذکر است که نمونه‌هایی از آلودگی برخی سیستم‌ها در داخل کشور به شرکت مهندسی شبکه گستر گزارش شده است.

متاسفانه در حال حاضر امکان بازگردانی فایل‌های رمز شده بدون در اختیار داشتن کلیدهای رمزگذاری امکان‌پذیر نمی‌باشد.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروس‌های McAfee و Bitdefender بترتیب با نام‌های GenericRXEC-PG!BE7B200D2115 و Trojan.Ransom.GandCrab.C شناخته می‌شود.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
  • در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

13 پاسخ

  1. سلام متاسفانه امروزسیستم من به این ویروس الوده شده وخیلی ازفایلهابه پسوندcrabتغییرداده شده حتی باتغییروبازگردانی فایلهابه پسونداصلی بازهم قادربه دسترسی به محتوی نیستم .

    1. سلام متاسفانه سیستم من هم به این بد افزار آلوده شده و نمیدونم چطوری اطلاعاتم رو ریکاوری کنم :(
      شما به نتیجه ای نرسیدید؟

        1. سلام لطفاً لینک لازم جهت ثبت عضویت در شبکه گستر را ارسال نمایید
          https://my.shabakeh.net این لینک لینک ورود هستش در صورتی که من عضویت ندارم و لینک عضویتی هم برای ثبت وجود ندارد.
          با تشکر!

          1. با سلام؛

            لطفاً موارد مذکور را به نشانی info @ shabakeh.net ارسال نمایید.

  2. سلام
    تمام سیستم من هم به crab آلوده شده و تمام درایوها درگیر شدن آیا نرم افزاری برای بازگرداندن اطلاعات هست؟

    1. با سلام؛

      لطفاً نمونه ای از فایل رمز شده و فایل اطلاعیه باج گیری (Ransom Note) را برای بررسی به سامانه https://my.shabakeh.net ارسال نمایید.

  3. سلام وای خدا سیستم منم به این ویروس الوده شده..بعضی از فایلایی ک رو لپ تاپم دارم پخش نمیشن همشونم پسوند CRAB دارن..توروخدا کمک کنید اول فک میکردم ممکنه بخاطر به روز نبودن نرم افزارهام باشه ولی الان دیدم پسوند فایلایی ک پخش نمیشن به crab تغییر داده شدن.چیکار کنم؟؟؟؟؟؟همه ی فایلام اینجوری نشدن فقط بعضیاشون..توروخدا راهنمایی کنید

  4. سلام کل سیستم من هم دقیقا ب این باج افزار ک گفتین ( دقیقا همون پسوند و میندازه پشت فایل ها) دچار شره و هرکاری ک بگید انجام دادم اما نشد ک نشد آیا واقعا باید قید کل فایل هامو بزنم ؟؟؟؟؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *