CMB؛ نسخه جدید باج‌افزار مخرب CrySis

نسخه جدیدی از باج‌افزار CrySis در حال انتشار است که پس از رمزگذاری فایل‌های پراستفاده کاربر به آنها پسوند cmb را الصاق می‌کند.

به گزارش شرکت مهندسی شبکه گستر، CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – از جمله باج‌افزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP – معمولا از طریق درگاه TCP 3389 – اقدام به رخنه به سازمان و توزیع باج‌افزار بر روی دستگاه های قابل دسترس از روی دستگاه هک شده می‌کنند.

پس از اجرای فایل مخرب باج‌افزار CrySis، فایل‌های زیر بر روی دستگاه ایجاد می شوند:

• %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
• %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\cmb_ransomware.exe
• %Appdata%\Info.hta
• %UserProfile%\Desktop\FILES ENCRYPTED.txt
• C:\Users\Public\Desktop\FILES ENCRYPTED.txt

دست‌درازی‌های زیر نیز در بخش محضرخانه (Registry) اعمال می‌شود:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmb_ransomware.exe C:\Windows\System32\cmb_ransomware.exe
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\Windows\System32\Info.hta mshta.exe “C:\Windows\System32\Info.hta”
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%Appdata%\Info.hta mshta.exe “%Appdata%\Info.hta”

CrySis، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های با پسوند خاص پویش کرده و سپس آنها را رمزگذاری می‌کند.

باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود. بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.

در این نسخه، به انتهای نام و پسوند فایل‌های رمزگذاری شده عبارت زیر افزوده می‌شود:

• .id-[id].[ paymentbtc@firemail.cc].cmb

متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

طی یک سال گذشته، کاربران و موسسات ایرانی به کرات هدف باج‌افزار CrySis قرار گرفته‌اند. 

همانطور که اشاره شد روش اصلی انتشار باج‌افزار CrySis بهره‌گیری مهاجمان آن از پودمان پراستفاده RDP است. بنابراین به تمامی مدیران و راهبران شبکه مطالعه این راهنما توصیه می‌شود.

جزییات بیشتر در خصوص باج‌افزار CrySis در اینجا قابل دریافت و مطالعه است.

لازم به ذکر است که نسخه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender
   – Trojan.Ransom.Crysis.E

McAfee
   – Ransom-WW!D50F69F0D3A7

Sophos
   – Troj/Criakl-G