هفته گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایلهای رمز شده توسط باجافزار GandCrab کرد. همانطور که در خبر اشاره شده بود این شرکت با در اختیار داشتن کلیدهای رمزگذاری موفق به ساخت این ابزار شده بود. برخی منابع اعلام کرده بودند که Bitdefender یا نهادهای قانونی بنحوی موفق به هک سرورهای فرماندهی این باجافزار شدهاند و از این راه به کلیدها دست یافته بودند.
به گزارش شرکت مهندسی شبکه گستر، اکنون نویسندگان GandCrab نسخه دیگری از این باجافزار را منتشر کردهاند که در آن از سرورهای فرماندهی جدیدی احتمالاً با حفاظت امنیتی بالاتر و آسیبپذیری کمتر استفاده شده است.
نشانیهای دامنه سرور فرماندهی به شرح زیر است:
- olitiaromana.bit
- malwarehunterteam.bit
- gdcb.bit
همچنین در نسخه جدید پسوند فایلهای رمزگذاری شده به CRAB تغییر داده میشود.
در نسخههای پیشین به فایلهای رمز شده پسوند GDCB الصاق میشد.
عنوان فایل اطلاعیه باجگیری نیز به CRAB-Decrypt.txt تغییر یافته است. در این اطلاعیه از کاربر خواسته میشود تا از طریق پیامرسان Tox با مهاجمان تماس گرفته شود.
در سامانه پرداخت باج که از طریق شبکه ناشناس TOR قابل دسترس است تغییراتی اعمال شده است.
لازم به ذکر است که نمونههایی از آلودگی برخی سیستمها در داخل کشور به شرکت مهندسی شبکه گستر گزارش شده است.
متاسفانه در حال حاضر امکان بازگردانی فایلهای رمز شده بدون در اختیار داشتن کلیدهای رمزگذاری امکانپذیر نمیباشد.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروسهای McAfee و Bitdefender بترتیب با نامهای GenericRXEC-PG!BE7B200D2115 و Trojan.Ransom.GandCrab.C شناخته میشود.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژههای پیچیده را مجاز به استفاده از آن کنید.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.