نسخهای از باجافزار CrySis – که با نامهای Dharma و Wallet نیز شناخته میشود – در حال انتشار است که در آن پسوند فایلهای رمزگذاری شده به arrow. تغییر داده میشود.
به گزارش شرکت مهندسی شبکه گستر، باجافزار CrySis از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستمها از طریق پودمان RDP اقدام به آلودهسازی آنها میکنند. اما روش انتشار این نسخه، ایمیل های موسوم به کلاهبرداری (Phishing) گزارش شده است.
پیوست ایمیلهای ناقل این نسخه از باجافزار فایلی Word است که در آن یک ماکروی مخرب تزریق شده است.
این نسخه از باجافزار CrySis پس از نصب شدن، دیسک سخت و پوشههای اشتراکی را – که نام کاربری مورد استفاده باجافزار به آنها دسترسی نوشتن دارد – برای یافتن فایلهای پسوندهای زیر پویش کرده و سپس آنها را رمزگذاری میکند.
.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAV, .DWG, .DXF, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML, .DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRF, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCD, .SDF, .TAR, .TAX2014, .TAX2015, .VCF, .XML, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMA, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV, .3D, .3DM, .3DS, .MAX, .OBJ, .R.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG.
باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشههای اشتراکی، همچنان باجافزار از طریق دیگر دستگاههای آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایلهای موجود در پوشه خواهد بود.
بنابراین محدودسازی سطح دسترسی به پوشههای اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس بهروز و قدرتمند از اهمیت بسزایی برخوردار میباشد.
در این نسخه، نام و پسوند فایلهای رمزگذاری شده بر اساس یکی از الگوهای زیر تغییر داده میشود:
- .id-[random-characters].[vauvau@cock.li].arrow
- .id-[random-characters].[marat20@cock.li].arrow
متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
جزئیات بیشتر در خصوص باجافزار CrySis در اینجا قابل دریافت و مطالعه است.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژههای پیچیده را مجاز به استفاده از آن کنید.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.