رمزگشایی فایل‌ها از طریق پودمان RDP؟!

یک محقق امنیتی از شناسایی باج‌افزاری خبر داده که در اطلاعیه باج‌گیری آن از قربانی خواسته می‌شود تا پس از پرداخت مبلغ اخاذی شده، سرویس Remote Desktop را بر روی دستگاه فعال کرده و اطلاعات اصالت‌سنجی مورد نیاز را به نویسندگان این باج‌افزار ارسال کند.

باج‌افزار مذکور به فایل‌های رمزگذاری شده پسوند old@nuke.africa].CommonRansom] را الصاق می‌کند.

به گزارش شرکت مهندسی شبکه گستر، مبلغ اخاذی شده توسط این باج‌افزار 0.1 بیت‌کوین – معادل 26 میلیون ریال – گزارش شده که پس از طی شدن مراحل پرداخت، می‌بایست ساعت انتقال وجه به همراه اطلاعاتی دیگر در قالب زیر به ایمیل old@nuke.africa ارسال شود:

1. This ID-[VICTIM_ID]
2. [IP_ADDRESS]:PORT(rdp) of infected machine
3. Username:Password with admin rights
4. Time when you have paid 0.1 btc to this bitcoin wallet:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF

بدیهی است که در صورت ارسال اطلاعات اصالت‌سنجی، امکان هر گونه دست‌درازی از جمله نصب بدافزارهای دیگر فراهم خواهد شد.

شماره کیف بیت‌کوین اشاره شده در اطلاعیه باج‌گیری (35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF) نیز در گذشته فعالیت قابل توجهی داشته است. برای مثال مبلغ 65 بیت‌کوین – معادل 17 میلیارد ریال – از این نشانی به نشانی 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n منتقل شده است.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
  • از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *