Arrow: نسخه جدید باج‌افزار CrySis
  1397/01/26 

Arrow: نسخه جدید باج‌افزار CrySis


نسخه‌ای از باج‌افزار CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – در حال انتشار است که در آن پسوند فایل‌های رمزگذاری شده به arrow. تغییر داده می‌شود.

 باج‌افزار CrySis از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP اقدام به آلوده‌سازی آنها می‌کنند. اما روش انتشار این نسخه، ایمیل های موسوم به کلاهبرداری (Phishing) گزارش شده است.

پیوست ایمیل‌های ناقل این نسخه از باج‌افزار فایلی Word است که در آن یک ماکروی مخرب تزریق شده است.

این نسخه از باج‌افزار CrySis پس از نصب شدن، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های پسوندهای زیر پویش کرده و سپس آنها را رمزگذاری می‌کند.

.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAV, .DWG, .DXF, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML, .DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRF, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCD, .SDF, .TAR, .TAX2014, .TAX2015, .VCF, .XML, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMA, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV, .3D, .3DM, .3DS, .MAX, .OBJ, .R.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG.

باید در نظر داشت که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود.

بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.

در این نسخه، نام و پسوند فایل‌های رمزگذاری شده بر اساس یکی از الگوهای زیر تغییر داده می‌شود:

.id-[random-characters].[[email protected]].arrow
.id-[random-characters].[[email protected]].arrow

متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

از ضدویروس قدرتمند و به‌روز استفاده کنید.
از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از راهنمایی ارائه شده نسبت به پیکربندی صحیح آن اقدام کنید.
با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید..
آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچونFORTINET بهره بگیرید. 
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

 


نظرات کاربران
ارسال نظر