باج افزار گند کرب

خبر خوش نویسندگان باج‌افزار GandCrab برای شهروندان سوریه

نویسندگان GandCrab در پیامی که در یک تالار گفتگوی اینترنتی ارسال شده، کلیدهای رمزگشایی متعلق به قربانیان سوری این باج‌افزار مخرب را منتشر کرده‌اند.

به گزارش شرکت مهندسی شبکه گستر، این اقدام نویسندگان GandCrab در پاسخ به توییت‌هایی صورت گرفته که در آنها یک قربانی اهل سوریه برای بازگرداندن تصاویری از فرزندان فوت‌شده‌اش که فایل آنها توسط باج‌افزار مذکور از دسترس خارج شده درخواست کمک کرده است. متن توییت‌های این شهروند سوری که خود را جمیل سلیمان معرفی کرده در تصویر زیر نمایش داده شده است:

در پیام ارسالی توسط نویسندگان GandCrab رمزگذاری فایل‌ها بر روی دستگاه شهروندان سوریه یک اشتباه دانسته شده است.

در پیام مذکور لینکی به یک فایل ZIP به چشم می‌خورد که خود حاوی دو فایل readme.txt و SY_keys.txt است.

در فایل readme.txt توضیحاتی در خصوص قالب و ساختار کلیدها و اطلاعاتی در مورد دلایل عرضه آنها به زبان روسی درج شده که ترجمه انگلیسی آن به‌شرح زیر است:

format:
id - ver - key

GandCrab for help SY people.

For antiviruses:
Decryptor to develop independently for each version.
We believe in the "power" of Bitdefender, since they all promise the decryptor constantly, and it is not yet ready, but now it is being developed and will soon be ready. Without keys, true. We would very much like the decryptor to be written by Kaspersky or Eset.
The most important thing is not to indicate that he will help everyone. He will help only a citizen of Syria. Because of their political situation, economic and relations with the CIS countries.
We regret that we did not initially add this country to the exceptions. But at least that way we can help them now.
Whose keys are not (only for citizens of Syria and the CIS, Ukraine including) - you need to come to us and take a picture of yourself with a passport and payment page. After that, we will issue a decryptor for free.
This is indicated just in case any clever people patch the file so that it works everywhere. Hi, Polish kurvy.
As for other countries - we will not share the keys, even if we are closed someday. We will remove them. It is necessary to resume the punitive process in respect of some countries.
Let me remind you that you can only decrypt using our keys that are stored on our server. We issue them only after payment. There are no other miracle ways.

With love from crabs, representatives of different countries, religions, beliefs and beliefs.

--- With the support of the forum xss.is (ex. Damagelab) ---

فایل SY_keys.txt نیز حاوی 978 کلید رمزگشایی از نسخه 1.0 تا نسخه 5.0 باج‌افزار GandCrab است.

به‌نظر می‌رسد که تشخیص سوری بودن قربانی، با بررسی نشانی IP دستگاه‌های آلوده به باج‌افزار انجام شده است. این نویسندگان از آن دسته از قربانیان سوری که شناسه دستگاه آنها در فایل مذکور نیست خواسته‌اند تا تصویری از خود، گذرنامه و پیام باج‌گیری نمایش داده شده بر روی دستگاه را برایشان ارسال کنند تا احتمالا با این کار مهاجران سوری نیز مشمول این اقدام تبهکاران قرار بگیرند.

علیرغم انتشار این کلیدها، قربانیان ناچارند منتظر عرضه ابزاری – معمولا توسط شرکت‌های ضدویروس – برای بازگردانی فایل‌ها توسط این کلیدها بمانند.

همانطور که در فایل readme.txt نیز مشاهده می‌شود نویسندگان GandCrab تاکید کرده‌اند که بجز سوریه، کشورهای مشترک‌المنافع و اوکراین، در خصوص شهروندان کشورهای دیگر هیچ رحم و بخششی در کار نخواهد بود. بنابراین همچون همیشه به تمامی کاربران ایرانی توصیه می‌شود تا با پیروی از اقدامات زیر دستگاه‌ها و شبکه‌های تحت مدیریت خود را از گزند باج‌افزارها در امان نگاه دارند:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
  • از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *