یک محقق امنیتی از شناسایی باجافزاری خبر داده که در اطلاعیه باجگیری آن از قربانی خواسته میشود تا پس از پرداخت مبلغ اخاذی شده، سرویس Remote Desktop را بر روی دستگاه فعال کرده و اطلاعات اصالتسنجی مورد نیاز را به نویسندگان این باجافزار ارسال کند.
باجافزار مذکور به فایلهای رمزگذاری شده پسوند old@nuke.africa].CommonRansom] را الصاق میکند.
به گزارش شرکت مهندسی شبکه گستر، مبلغ اخاذی شده توسط این باجافزار 0.1 بیتکوین – معادل 26 میلیون ریال – گزارش شده که پس از طی شدن مراحل پرداخت، میبایست ساعت انتقال وجه به همراه اطلاعاتی دیگر در قالب زیر به ایمیل old@nuke.africa ارسال شود:
1. This ID-[VICTIM_ID]
2. [IP_ADDRESS]:PORT(rdp) of infected machine
3. Username:Password with admin rights
4. Time when you have paid 0.1 btc to this bitcoin wallet:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgFبدیهی است که در صورت ارسال اطلاعات اصالتسنجی، امکان هر گونه دستدرازی از جمله نصب بدافزارهای دیگر فراهم خواهد شد.
شماره کیف بیتکوین اشاره شده در اطلاعیه باجگیری (35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF) نیز در گذشته فعالیت قابل توجهی داشته است. برای مثال مبلغ 65 بیتکوین – معادل 17 میلیارد ریال – از این نشانی به نشانی 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n منتقل شده است.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.