باج‌افزاری حساس به فایل‌های باز

نسخه جدیدی از باج‌افزار Matrix در حال انتشار است که ضمن رمزگذاری فایل‌های پراستفاده کاربر، پسوند FOX را به آنها الصاق می‌کند. یکی از ویژگی‌های جالب این باج‌افزار تلاش فراوان آن برای اطمینان یافتن از بسته بودن فایل‌ها پیش از رمزگذاری آنهاست. عاملی که در نتیجه آن سرعت رمزگذاری این باج‌افزار را به شدت کاهش داده است.

به گزارش شرکت مهندسی شبکه گستر، اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با گذرواژه ضعیف و اجرای فایل مخرب باج‌افزار اصلی‌ترین روش انتشار این نسخه جدید از Matrix است.

متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

همانند نسخه‌های پیشین Matrix، این نسخه نیز به کرات اقدام به برقراری ارتباطات با سرور فرماندهی خود نموده و مهاجمان را از روند پیشرفت فرآیند رمزگذاری آگاه می‌کند.

در جریان فرآیند رمزگزاری دو کنسول باز می‌گردد. در یکی از آنها وضعیت پروسه رمزگذاری نمایش داده می‌شود و در دیگری نشانی‌های شبکه‌ای حاوی پوشه‌های باز به اشتراک گذاشته شده فهرست می‌شود.

در ادامه یک فایل از نوع Batch بر روی دستگاه کپی می‌شود. وظیفه این فایل بستن فایلی است که قرار است رمزگذاری شود. برای این منظور تمامی ویژگی‌های فایل (Attribute) حذف شده، دسترسی‌ها و مالکیت آن تغییر یافته و سپس با بهره‌گیری از برنامه معتبر Sysinternals Handle، فایل مورد نظر بسته می‌شود. بدیهی است که باز بودن یک فایل مانع از رمزگذاری شدن آن توسط باج افزار می‌شود.

پیش از رمزگذاری هر فایل، اسکریپت Batch مذکور بر روی آن اجرا می‌شود. پس از رمزگذاری نیز نام آن تغییر یافته و پسوند FOX به آن الصاق می‌گردد.

در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمزگذاری شده اطلاعیه باج‌گیری Matrix با عنوان FOX_README#.rtf# کپی می‌شود. در این اطلاعیه از کاربر خواسته می‌شود تا از طریق یکی از ایمیل‌های زیر با مهاجمان ارتباط برقرار کند:

PabFox@protonmail.com
FoxHelp@cock.li
FoxHelp@tutanota.com

پس‌زمینه سیستم عامل نیز به تصویری که به نوعی نسخه‌ای دیگر از اطلاعیه باج گیری است تغییر می‌یابد (شکل زیر).

در پایان پروسه رمزگذاری یک اسکریپت VBS با نامی تصادفی در پوشه %AppData% کپی می‌شود. وظیفه این اسکریپت ثبت یک فرمان زمانبندی شده با عنوان DSHCA ‌است که با اجرا شدن آن یک فایل Batch در همان مسیر مذکور با سطح دسترسی Administrator اقدام به حذف نسخه‌های موسوم به Shadow، غیرفعال کردن Windows Recovery Startup و حذف فایل‌های متعلق به باج‌افزار و ردپاهای خود بر روی دستگاه می‌کند.

نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

Bitdefender:
   – Generic.Ransom.Matrix.22720098

McAfee:
   – Trojan-FQAE!76B640AA0035

Sophos AV:
   – Troj/Matrix-H

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
• از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.