انتشار نسخه جدیدی از باجافزار CryptoMix
در روزهای اخیر نسخه جدیدی از باجافزار معروف CryptoMix در حال انتشار است که در آن ضمن رمز شدن فایلهای کاربر و تغییر نام آنها، پسوند BACKUP نیز به فایلهای رمزگذاری شده الصاق میشود.
در نسخه جدید از قربانی خواسته میشود از طریق ایمیلهای زیر با مهاجمان ارتباط برقرار کند:
- backuppc@tuta.io
- backuppc@protonmail.com
- backuppc1@protonmail.com
- b4ckuppc1@yandex.com
- b4ckuppc2@yandex.com
- backuppc1@dr.com
همچنین متن اطلاعیه باجگیری آن با نام HELP_INSTRUCTION.TXT_ در مقایسه با نسخههای قبلی این باجافزار تفاوتهایی دارد.
به گزارش شرکت مهندسی شبکه گستر، این باجافزار بهمنظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخههای Windows Shadow Volume از فرامین زیر استفاده میکند:
- sc stop VVS
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
باجافزار CryptoMix علاوه بر انتشار از طریق ایمیلهای هرزنامه، بوسیله سایتهای مخرب و تسخیر شده نیز اقدام به آلوده کردن سیستمها و رمزگذاری فایلهای آنها میکند. در زمان مراجعه کاربر به این سایتها، کد مخرب تزریق شده در صفحه اینترنتی با بهرهجویی از ضعفهای امنیتی موجود در سیستم عامل Windows و نرمافزارهایی نظیر محصولات شرکت ادوبی و که بر روی دستگاه کاربر نصب شدهاند، باجافزار را بر روی سیستم نصب میکند.
متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
نمونه بررسی شده در این خبر با نامهای زیر قابل شناسایی میباشد:
Bitdefender
– Trojan.GenericKD.30876992
McAfee
– RDN/Generic.grp
Sophos
– Mal/Generic-S
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.