دسته‌بندی نشده

مواظب باج افزار ها باشید…

خطرات ویرووس های “باجگیر” را جدی بگیرید

 خطرات ویرووس های "باجگیر" را جدی بگیرید

به گزارش روابط عمومی گروه مهندسی ای کن، اخيرا گزارشی در خصوص از بين رفتن  اطلاعات  سیستمهای اطلاعاتی  يكي از مشتريان شركت در اثر ويروس باج‌گير داشته‌ايم، لذا بهتر دیدیم که در این زمینه اطلاعاتی را منتشر کرده و متذکر شویم که خطرات ویروس های باجگیر را جدی بگیرید!!!

  • داده ها در حال از بین رفتن هستند
  • سرورهای ایرانی نیز در حال آلوده شدن هستند
  • سیستم های شخصی در حال آلوده شدن هستند
  • خاطرات شخصی، عکس های خانوادکی در حال از بین رفتن هستند
  • دریافت هزینه ی ۲ تا ۱۰ میلیون تومانی برای بازیابی اطلاعات درگیر با ویرووس باجگیر

ویروس باج گیر چیست؟
بدافزاری است که فایلهای سیستم قرابانی را با الگوریتی خاص رمزگذاری کرده و با توجه به تولید کننده بدافزار، پسوند فایل رمزگذاری شده را به عبارت متفاوت مانند (.cerber , .lucky , .abc , ….) تبدیل می شود.
در هنگام انجام عملیات رمزگذاری پیامی برای کاربر مبنی بر پرداخت پول برای بازگشایی رمز بر روی دسکتاپ سیستم قربانی نمایش میگذارد. این بدافزارها طیف وسیعی از اطلاعات شامل داکیومنت ها، عکس ها، فایل های ویدیویی و… را بر روی سیستم قربانی گروگان میگیرند. بعد از نصب بر روی سیستم قربانی به او گفته میشود اگر مبلغ تعیین شده پرداخت نگردد اطلاعات گروگان گرفته شده و برای همیشه از بین خواهند رفت! تعریفی که محقیقن امنیت از این بدافزار است: کدنویسی دقیق با الگوریتم های رمزگذاری قوی، که غیرقابل بازگشایی هستند! بنابراین در رویارویی با چنین بدافزارهایی کمپانی ها و قربانیان زیادی اغلب ترجیح میدهند بجای از دست دادن اطلاعات، مبلغ درخواستی را پرداخت کنند؛ اما محقیقین امنیت سایبری همچنان درحال یافتن راهی برای دیکریپ کردن رنسامورها هستند تا بتوانند جلوی اینگونه اخاذی هارا بگیرند.

نمونه ای از ویروس های باجگیر: ویروس باجگیر تسلا (tesla)، ویروس باجگیر سربر (cerber)، ویروس باجگیر لاکی (Lucky) و ….

راه های نفوذ ویروس های باجگیر:

ویرووس باجگیر

این بدافزارها توسط ۱-ایمیل و ۲-فایل پیوست شده به ایمیل منتقل میشود، بویژه پیوستی که از نوع فایل ورد (word) باشد به سیستم نفوذ می کنند.
این فایل ورد شامل یک ماکرو است که به محض اجرا شدن «ویروس باج گیر» اصلی را از اینترنت دانلود می‌کند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیل‌های تبلیغاتی یا با آدرس ناآشنا بپرهیزید. در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نموده‌اند که ایمیلی با عنوان مُعین را باز نموده‌اند و بعد از آن دچار مشکل شده‌اند بطور کلی در بیشتر موارد ایمیل‌های تبلیغاتی و با آدرس‌های ناآشنا بوده‌اند.
 بطور دقیق‌تر به محض اجرا شدن فایل ورد، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی می‌سازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript از اینترنت گرفته و اجرا می‌کند.

 

لیستی از فایل هایی که مورد حمله قرار می گیرند:
.sql, .mp۴, .۷z, .rar, .m۴a, .wma, .avi, .wmv, .csv, .d۳dbsp, .zip, .sie, .sum, .ibank, .t۱۳, .t۱۲, .qdf, .gdb, .tax, .pkpass, .bc۶, .bc۷, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w۳x, .fsh, .ntl, .arch۰۰, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m۲, .mcmeta, .vfs۰, .mpqge, .kdb, .db۰, .dba, .rofl, .hkx, .bar, .upk, . das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re۴, .sav, .lbf, .slm, .bik, .epk, .rgss۳a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m۳u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p۷c, .p۷b, .p۱۲, .pfx, .pem, .crt, .cer, .der, .x۳f, .srw, .pef, .ptx, .r۳d, .rw۲, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr۲, .crw, .bay, .sr۲, .srf, .arw, .۳fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb۲, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

متاسفانه از لحاظ فنی با توجه به روش رمزگذاری AES ۲۵۶ است که بسیار مستحکم است و بازگرداندن اطلاعات را بسیار بسیار سخت میکند و در اکثر مواقع راه حلی برای بازگرداندن این فایل های رمز شده وجود ندارد.

توصیه های زیر را جدی بگیرید:

  • گرفتن فایل پشتیبان (backup) از اطلاعات مهم
  • نگهداری فایل های پشتیبان در مکانی خارج از سرور یا سیستم اصلی (جدا کردن هاردهای پشتیبان گیری از سیستمهای اصلی)
  • نگهداری فایل های پشتیبانی در سخت افزارهای مطمین و غیرفایل نفوذ (مانند DVD)
  • بکارگیری راه حل های امنیتی جهت ایمیل ها، مانند فعال سازی فیلتر کردن extension های فایل های ضمیمه مانند .scr ها جهت بلوکه کردن فایل های آلوده (در شبکه سازمان ها)
  • خودداری از بازکردن ضمایم ایمیل هایی با ارسال کننده های ناشناس مانند فایل های .zip، office، .pdf و …
  • پاک کردن یا اسپم کردن ایمیل های مشکوک و هشدار به دیگران
  • استفاده از ابزارهای امنیتی مناسب در شبکه و روی سیستم مانند آنتی ویروس بروزشده

از زمان دریافت ویروس تا فعال شدن آن چندین روز ممکن است طول بکشد. بنابراین، مواظب فایل های پشتیبان خود باشید

 

لحظه باجگیری ویروس سربر (Cerber)

ویروس باجگیر‍

توصیه های شرکت ایمن رایانه (تولیدکننده آنتی ویروس پاندا) به کاربران اینترنت در خصوص ویروس های باجگیر:

  • از تمام اطلاعات و فایل های مهم خود یک نسخه پشتیبانی – backup به صورت هفتگی و حتی روزانه در اختیار داشته باشید. برنامه های زیادی در این خصوص وجود دارد که به کاربران خانگی و مراکز سازمانی برنامه هایی مثلDropbox Professional Backup یاAcronis Business Backup را پیشنهاد می کنیم.
  • بابت باز گشایی فایل های قفل شده خود، هرگز هزینه ای پرداخت نکنید. اغلب برنامه های باجگیر با فریب کاربران، آنها را مجبور به پرداخت هزینه تعیین شده می کنند اما پس از آن، هیچ یک از فایل های از بین رفته را بر نمی گردانند.
  • حفره های امنیتی موجود در سیستم های عامل و برنامه های مهم کاربردی را مدیریت کنید. ویروس هایی مثل CryptoDefence یا CTB-Locker با سوء استفاده از نقص ها و حفره های امنیتی به درون رایانه ها نفوذ می کنند. کاربران خانگی و سازمانی می توانند از تمام برنامه های ضدویروس پاندا که مجهز به تکنولوژی Panda Anti-exploit هستند، استفاده نموده و به طور خودکار حفره های امنیتی را پوشش دهند.
  • توجه به مواردی مثل کلیک نکردن بر روی لینک های ناشناس و مشکوک، بازنکردن ایمیل های ناشناس و مشکوک، عدم دانلود برنامه ها و نرم افزارهای ناشناس یا مشکوک را جدی بگیرید.
  • از نرم افزارهای ضدویروس مجهز به “ابزار پیش شناسایی” بدافزار استفاده کنید. این ابزار باعث می شود تا بدافزار باجگیر و خطرناک روی سیستم کاربر هرچند جدید باشد، با استفاده از تحلیل رفتاری آن توسط نرم افزار ضدویروس شناسایی و فوراً قرنطینه شود.
  • از قابلیت System Restore و یا Previous Versions در سیستم عامل ویندوز استفاده کنید. با تعریف نقطه های بازیابی فایل ها Restore Points به صورت دائم می توانید حتی در صورت قفل شدن و نابود شدن فایل هایتان، آن ها را به آخرین نقطه تعریف شده در بخش System Restoreبرگردانید. بنابراین با تعریف روزانه نقطه های بازیابی از شر ویروس هایی که اطلاعات و اسناد مهم شما را هدف می گیرند مصون بمانید.
  • برای جلوگیری از اجرای برنامه های ناخواسته و مزاحم که شامل ویروس ها و بدافزار ها هم می شوند، می توانید در کامپیوتر های خانگی از بخش “مدیریت سیستم های امنیتی” Local Security Policy – در سیستم عامل ویندوز استفاده کنید. برای شبکه های سازمانی هم می توانید از قابلیت های موجود در بخش “”Group/Local Policy استفاده کنید. اینگونه می توانید با تعریف یک لیست سفید “White List” از فایل ها و برنامه های اجرایی دلخواهتان، اجرای تمام برنامه های خارج از این فهرست را مسدود (Block) کنید. بنابراین به سادگی از اجرای بدافزار ها و فایل هایی که نمی خواهید اجرا شوند، جلوگیری می کنید؛ هرچند که ممکن است کارآیی و بازده عملیاتی رایانه شما اندکی کاهش یابد.
  • از نرم افزارهای مجهز به Application Control، استفاده کنید. این ابزارها می توانند با ایجاد یک فهرست سفید از برنامه های مورد نظر شما، از اجرای برنامه های ناخواسته و مزاحم مانند بدافزارها جلوگیری کنند.
  • در صورت آلودگی سیستم ها به بدافزارهای باج گیر مانند CryptoLocker یا CTB-locker حتما قبل از انجام بازیابی فایل های رمزگذاری شده (توسط Backup، System Restore و …) از پاکسازی کامل ویروس و عدم آلودگی سیستم مطمئن شوید. به این منظور هم در کامپیوترهای خانگی و هم درسیستم های سازمانی می توانید از ابزار ویروس یاب آنلاین و رایگان Panda Cloud Cleaner استفاده نمایید و پس از پاکسازی آلودگی، فایل های قفل شده را بازیابی کنید.
  • و توصیه نهایی این که متاسفانه در بیشتر موارد امکان بازیابی مستقیم فایل های قفل شده وجود ندارد بنابراین یا با رعایت جوانب سفت و سخت حفاظتی از نفوذ ویروس های باجگیر جلوگیری کنید و یا همواره یک نسخه پشتیبان جدید از اطلاعات و اسناد مهم خود در اختیار داشته باشید.

منبع خبر: http://itna.ir/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *