انتشار نسخه سوم باج‌افزار GandCrab

نویسندگان GandCrab، نسخه سوم این باج‌افزار مخرب را منتشر کردند. نسخه‌های قبلی این باج‌افزار در ماه‌های اخیر تعداد قابل توجهی از دستگاه‌ها را در کشورهای مختلف از جمله ایران به خود آلوده کرده بودند.

به گزارش شرکت مهندسی شبکه گستر، در زمان نگارش این خبر، نسخه سوم این باج‌افزار، با سوءاستفاده از آسیب‌پذیری‌های امنیتی – با بکارگیری بسته بهره‌جوی Magnitude – و از طریق ایمیل‌های با پیوست فایل ZIP که در آن یک اسکریپت VB جاسازی شده کاربران را هدف قرار داده است.

نسخه جدید مجهز که به یک قابلیت خودکار است که با ایجاد کلید زیر در محضرخانه سیستم عامل سبب اجرای خودکار فایل اصلی باج‌افزار در هر بار راه‌اندازی دستگاه می‌شود.

• SubKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
• Name: <random chars> 
• Value: %APPDATA%\Microsoft\<random chars>.exe

فایل اطلاعیه باج‌گیری و پسوند فایل‌های رمزگذاری شده همانند نسخه پیشین بترتیب CRAB-DECRYPT.txt و .CRAB بدون تغییر باقی مانده‌اند.

همچنین در نسخه جدید پس‌زمینه سیستم عامل تغییر یافته و در پیام درج شده در تصویر از قربانی خواسته می‌شود تا به اطلاعیه باج‌گیری مراجعه کند.

نسخه سوم GandCrab دارای اشکالی است که سبب بروز اختلال در عملکرد دستگاه‌های با سیستم عامل Windows 7 می‌شود. در این دستگاه‌ها پس از راه‌اندازی مجدد شدن دستگاه تها یک مرورگر در اختیار کاربر خواهد بود (تصویر ز یر):

هر چند که با فشردن همزمان دگمه‌های CTRL+ALT+DEL، انتخاب گزینه Task Manager و در ادامه پایان دادن به پروسه متعلق به باج‌افزار، دسترسی به بخش‌های سیستم عامل فراهم خواهد شد. انتظار می‌رود که این باگ امنیتی بزودی توسط نویسندگان باج‌افزار برطرف شود.

لازم به ذکر است که در اسفند ماه سال گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایل‌های رمز شده توسط باج‌افزار GandCrab کرد. با این حال متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده توسط نسخه‌های بعدی GandCrab از جمله نسخه بررسی شده در این خبر بدون در اختیار داشتن کلید فراهم نیست.

نمونه‌ای که در این خبر به آن پرداخته شده با نام‌های زیر شناسایی می‌شود:

McAfee
   – GenericRXFF-OD!F7C072A322CB

Bitdefender
   – Gen:Variant.Zusy.283911

Sophos
   – Mal/Generic-S

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
• از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.