انتشار نسخه چهارم باج‌افزار GandCrab

نسخه چهارم از باج‌افزار معروف GandCrab با تغییراتی قابل توجه منتشر شد. از جمله این تغییرات می‌توان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایل‌های رمزگذاری شده، تغییر نام فایل اطلاعیه باج‌گیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد.

به نظر می‌رسد هک سایت‌های ارائه‌دهنده فایل‌ها و ابزارهای موسوم به Crack و جایگزین کردن لینک‌های دریافت با فایل مخرب باج‌افزار یکی از اصلی‌ترین روش‌های انتشار نسخه چهارم GandCrab – حداقل تا زمان نگارش این خبر – است.

به گزارش شرکت مهندسی شبکه گستر، در نسخه جدید فایل‌های قربانی با استفاده از الگوریتم Salsa20 رمزگذاری می‌شوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر به‌عمل آمده است!

به‌محض آلوده شدن دستگاه به این باج‌افزار، درایوهای دستگاه و پوشه‌های اشتراکی شبکه مورد پویش قرار می‌گیرند. باید توجه داشت که پویش شبکه محدود به شناسایی درایوهای Map شده نبوده و شامل هر گونه پوشه اشتراکی با سطح دسترسی نوشتن در سطح شبکه سازمان می‌شود.

با شناسایی هر فایل، پروسه رمزگذاری بر روی آن اجرا شده و در پایان به آن پسوند KRAB. الصاق می‌گردد.

در فایل اطلاعیه باج‌گیری نسخه جدید با نام KRAB-DECRYPT.txt به سایتی در شبکه ناشناس TOR اشاره شده و از قربانی خواسته می‌شود تا برای دریافت کلید رمزگشایی به آن مراجعه کند.

در حال حاضر مبلغ اخاذی شده در ازای آنچه که نویسندگان این باج‌افزار آن را رمزگشایی فایل‌ها می‌خوانند 1200 دلار است که بر اساس توضیحات سایت مذکور باید در واحد ارزرمز دش (DASH) پرداخت شود.

سایت تدارک دیده شده در شبکه TOR حاوی بخشی برای ارائه خدمات پشتیبانی به قربانیان و برقراری ارتباط با نویسندگان GandCrab است. یکی از قابلیت‌های ارائه شده در این بخش، رمزگشایی یک فایل برای اثبات توانایی بازگردانی سایر فایل‌ها توسط این تبهکاران سایبری است.

متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

نسخه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

Bitdefender
   – Gen:Variant.Zusy.291753

McAfee
 – Trojan-FPST!97A910C50171

Sophos
 – Mal/Generic-S

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
  • از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *