واکسن باج افزار GrandCrab نسخه ی 4.1.2 منتشر شد

واکسن باج افزار GrandCrab نسخه ی 4.1.2 منتشر شد

یک مرکز امنیتی تحقیقاتی مستقر در کره جنوبی به نام AhnLab امروز یک واکسن را در قالب نرم افزار عرضه کرده است که باج افزار GandCrab را بلوک میکند و مانع از رمزنگاری فایل های کاربر میشود.


 

این واکسن به گونه ای کار میکند که با ساختن یک نوع فایل خاص بر روی سیستم کاربر که باج افزار پیش از آغاز پروسه ی رمزنگاری آن را چک میکند.

این فایل [hexadecimal-string].lock نام دارد و در مسیر های زیر ذخیره میشود:

Win XP: C:\Documents and Settings\All Users\Application Data

Win 7, 8, 10: C:\ProgramData

این واکسن باج افزار را فریب میدهد

شناسه ی Hexadecimal بر اساس اطلاعات سیستم درایور ها و الگوریتم salsa20 ساخته میشود و برای هر کاربر مخصوص است. باج افزار GandCrab این فایل را میسازد تا بداند آیا یک سیستم از قبل آلوده شده است یا نه و از اجرای دوباره ی فایل اجرایی باج افزار و از بین بردن دائمی این باج افزار پیشگیری میکند.

این واکسن امکان ساختن این فایل پیش از آلوده شدن کاربر را دارد و باعث میشود که باج افزار فریب بخورد و تصور کند که از پیش اطلاعات قربانی را قفل کرده است.

متاسفانه این واکسن تنها با آخرین نسخه ی باج افزار GandCrab نسخه ی 4.1.2 که از تاریخ 17 ژوئیه منتشر شد کار میکند.

مکانیزم این فایل .lock به نظر میرسد با عرضه ی نسخه ی 4 gandcrab در آغاز ژوئیه اضافه شده است.

در حالی که برنامه واکسن نسخه ی 4.1.2  گرند کرب را بلوک میکند ممکن است بتواند نرم افزار را بک پورت کند و از نسخه های پیشین نسخه ی چهارم نیز جلوگیری کند و از کاربران محافظت کند.

نفوذ از راه SMB میسر نیست

باج افزار GandCrab کم کم به بیشترین میزان پخش خود در میان دیگر باج افزاران رسیده است.

در اوایل ماه گذشته، یک محقق امنیتی متوجه شد که باج افزار GandCrab از قابلیت eternal Blue NSA بهره جو نیز پشتیبانی میکند که میگفت باج افزار میتواند از طریق یک سیستم با استفاده از پروتکل SMB به دیگر سیستم های آن شبکه نیز سرایت کند. ولی در گزارش های بعدی، Fortinet اعلام کرد که رویه ی خود مراقبتی توسط باج افزار استفاده نمیشود.

پیشگیری های جانبی: 

- نصب یک راهکار امنیتی و آنتی ویروس ایده آل بسیار کارساز است و کمک بسیار زیادی در پاکسازی آلودگی ها و پیشگیری از باج افزار ها دارد. در زمینه ی محافظت بیت دیفندر سازمانی و بیت دیفندر خانگی نیز امکان محافظت از شبکه و ساختار شما در کسب و کار های کوچک، متوسط و عظیم را دارد. آنتی ویروس بیت دیفندر نیز همچنین در ایران به صورت رسمی فعالیت دارد و دارای نماینده ی طلایی ( پانا فناور پارسیان) میباشد.

منبع: www.bleepingcomputer.com