باز هم کشف نسخهای جدید از باجافزار CryptoMix
در ادامه انتشار نسخههای متعدد جدیدی از CryptoMix، برخی منابع از کشف نسخه ای از این باجافزار خبر داده اند که ضمن تغییر نام فایلهای رمزگذاری شده، پسوند Tastylock. را به آنها الصاق میکند.
به گزارش شرکت مهندسی شبکه گستر، روشهای رمزگذاری این باجافزار نسبت به نسخههای پیشین آن تغییری نداشته است.
در نسخه جدید نیز همانند نسخه قبلی این باجافزار، فایل مربوط به اطلاعیه باجگیری HELP_INSTRUCTION.TXT_ نام دارد. در فایل مذکور از قربانی خواسته میشود که برای دریافت دستورالعمل پرداخت باج با نشانی t_tasty@aol.com تماس حاصل کند.
باز هم همچون نسخه پیشین، فایل مخرب این نسخه نیز، با نامی تصادفی در مسیر C:\ProgramData ذخیره میشود.
باجافزار CryptoMix با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف میکند:
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
همچنین این باجافزار بهمنظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخههای Windows Shadow Volume از فرامین زیر استفاده میکند:
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:\Windows\System32\cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
ضدویروسهای McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نامهای Generic.cwz و Generic.Ransom.Mole.824DEC5F شناسایی میکنند.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.