نسخه چهارم از باجافزار معروف GandCrab با تغییراتی قابل توجه منتشر شد. از جمله این تغییرات میتوان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایلهای رمزگذاری شده، تغییر نام فایل اطلاعیه باجگیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد.
به نظر میرسد هک سایتهای ارائهدهنده فایلها و ابزارهای موسوم به Crack و جایگزین کردن لینکهای دریافت با فایل مخرب باجافزار یکی از اصلیترین روشهای انتشار نسخه چهارم GandCrab – حداقل تا زمان نگارش این خبر – است.
به گزارش شرکت مهندسی شبکه گستر، در نسخه جدید فایلهای قربانی با استفاده از الگوریتم Salsa20 رمزگذاری میشوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر بهعمل آمده است!
بهمحض آلوده شدن دستگاه به این باجافزار، درایوهای دستگاه و پوشههای اشتراکی شبکه مورد پویش قرار میگیرند. باید توجه داشت که پویش شبکه محدود به شناسایی درایوهای Map شده نبوده و شامل هر گونه پوشه اشتراکی با سطح دسترسی نوشتن در سطح شبکه سازمان میشود.
با شناسایی هر فایل، پروسه رمزگذاری بر روی آن اجرا شده و در پایان به آن پسوند KRAB. الصاق میگردد.
در فایل اطلاعیه باجگیری نسخه جدید با نام KRAB-DECRYPT.txt به سایتی در شبکه ناشناس TOR اشاره شده و از قربانی خواسته میشود تا برای دریافت کلید رمزگشایی به آن مراجعه کند.
در حال حاضر مبلغ اخاذی شده در ازای آنچه که نویسندگان این باجافزار آن را رمزگشایی فایلها میخوانند 1200 دلار است که بر اساس توضیحات سایت مذکور باید در واحد ارزرمز دش (DASH) پرداخت شود.
سایت تدارک دیده شده در شبکه TOR حاوی بخشی برای ارائه خدمات پشتیبانی به قربانیان و برقراری ارتباط با نویسندگان GandCrab است. یکی از قابلیتهای ارائه شده در این بخش، رمزگشایی یک فایل برای اثبات توانایی بازگردانی سایر فایلها توسط این تبهکاران سایبری است.
متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
نسخه بررسی شده در این خبر با نامهای زیر شناسایی میشود:
Bitdefender
– Gen:Variant.Zusy.291753
McAfee
– Trojan-FPST!97A910C50171
Sophos
– Mal/Generic-S
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.