نماد سایت اتاق خبر شبکه گستر

Brrr: نسخه جدید باج‌افزار مخرب CrySis

باج افزار

نسخه جدیدی از باج‌افزار CrySis در حال انتشار است که پس از رمزگذاری فایل‌های پراستفاده کاربر، به آنها پسوند brrr را الصاق می‌کند.

به گزارش شرکت مهندسی شبکه گستر، CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – از جمله باج‌افزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP – معمولا از طریق درگاه TCP 3389 – اقدام به اجرا و توزیع باج‌افزار بر روی دستگاه‌های قابل دسترس از روی دستگاه هک شده می‌کنند.

دستگاه‌های با رمز عبور ضعیف / پراستفاده آسیب‌پذیرترین اهداف این حملات محسوب می‌شوند.

با اجرای فایل مخرب باج‌افزار، CrySis، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های با پسوند خاص پویش کرده و سپس آنها را رمزگذاری می‌کند.

یادآوری می‌شود که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود. بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.

در این نسخه، به انتهای نام و پسوند فایل‌های رمزگذاری شده عبارت زیر افزوده می‌شود که در آن [id] شناسه‌ای اختصاصی از دستگاه آلوده شده و [email] به نشانی ایمیلی که قربانی می‌بایست از طریق آن با مهاجمان ارتباط برقرار کند اشاره دارد:

.id-[id].[email].brrr

اطلاعیه باج‌گیری نسخه جدید در قالب دو فایل Info.hta و FILES ENCRYPTED.txt به کاربر ارائه می‌شود. فایل نخست که نمونه‌ای از آن در تصویر زیر قابل مشاهده است در هر بار راه‌اندازی شدن دستگاه اجرا می‌شود.

فایل دوم نیز بر روی Desktop کپی می‌شود.

در هر دوی فایل‌های مذکور از قربانی خواسته می‌شود تا به‌منظور دریافت دستورالعمل پرداخت باج، از طریق ایمیل paydecryption@qq.com با مهاجمان تماس حاصل کند.

متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

طی یک سال گذشته، کاربران و موسسات ایرانی به کرات هدف باج‌افزار CrySis قرار گرفته‌اند.

همانطور که اشاره شد روش اصلی انتشار باج‌افزار CrySis بهره‌گیری مهاجمان آن از پودمان پراستفاده RDP است. بنابراین به تمامی مدیران و راهبران شبکه مطالعه این راهنما توصیه می‌شود.

جزییات بیشتر در خصوص باج‌افزار CrySis در اینجا قابل دریافت و مطالعه است..

لازم به ذکر است که نسخه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
   – Trojan.Ransom.Crysis.G

McAfee:
   – RDN/Ransom

Sophos:
   – Mal/Generic-S

خروج از نسخه موبایل