انتشار نسخه جدیدی از باج‌افزار GandCrab

هفته گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایل‌های رمز شده توسط باج‌افزار GandCrab کرد. همانطور که در خبر اشاره شده بود این شرکت با در اختیار داشتن کلیدهای رمزگذاری موفق به ساخت این ابزار شده بود. برخی منابع اعلام کرده بودند که Bitdefender یا نهادهای قانونی بنحوی موفق به هک سرورهای فرماندهی این باج‌افزار شده‌اند و از این راه به کلیدها دست یافته بودند.

به گزارش شرکت مهندسی شبکه گستر، اکنون نویسندگان GandCrab نسخه دیگری از این باج‌افزار را منتشر کرده‌اند که در آن از سرورهای فرماندهی جدیدی احتمالاً با حفاظت امنیتی بالاتر و آسیب‌پذیری کمتر استفاده شده است.

نشانی‌های دامنه سرور فرماندهی به شرح زیر است:

• olitiaromana.bit
• malwarehunterteam.bit
• gdcb.bit

همچنین در نسخه جدید پسوند فایل‌های رمزگذاری شده به CRAB تغییر داده می‌شود.

در نسخه‌های پیشین به فایل‌های رمز شده پسوند GDCB الصاق می‌شد.

عنوان فایل اطلاعیه باج‌گیری نیز به CRAB-Decrypt.txt تغییر یافته است. در این اطلاعیه از کاربر خواسته می‌شود تا از طریق پیام‌رسان Tox با مهاجمان تماس گرفته شود.

در سامانه پرداخت باج که از طریق شبکه ناشناس TOR قابل دسترس است تغییراتی اعمال شده است.

لازم به ذکر است که نمونه‌هایی از آلودگی برخی سیستم‌ها در داخل کشور به شرکت مهندسی شبکه گستر گزارش شده است.

متاسفانه در حال حاضر امکان بازگردانی فایل‌های رمز شده بدون در اختیار داشتن کلیدهای رمزگذاری امکان‌پذیر نمی‌باشد.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروس‌های McAfee و Bitdefender بترتیب با نام‌های GenericRXEC-PG!BE7B200D2115 و Trojan.Ransom.GandCrab.C شناخته می‌شود.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.