نسخه جدید باج افزار Cmb Dharma منتشر شد

نسخه جدید باج افزار Cmb Dharma منتشر شد

در روز پنجشنبه نسخه جدیدی از باج افزار Dharma کشف شد که پسوند cmb. را به فایل های رمزگذاری شده اضافه می کند.

نسخه cmb  از باج افزار Dharma اولین بار توسط Michael Gillespie کشف شد، او هنگامی متوجه شد که نمونه هایی از باج افزار در ID Ransomware آپلود شده بود و پس از اینکه در مورد آن توئیت کرد Jakub Kroustek با نمونه ای از هش آن را پاسخ داد.

c2ab289cbd2573572c39cac3f234d77fdf769e48a1715a14feddaea8ae9d9702 - .[paymentbtc@firemail.cc].cmb + FILES ENCRYPTED.txt. Sample submitted to @virusbay_io https://t.co/3NCEyTPEKn

— Jakub Kroustek (@JakubKroustek) August 10, 2018

 

در زیر مشخص شده که چگونه این نژاد از باج افزار کامپیوترها را آلوده می کند، زمانیکه شما به این نوع از باج افزار آلوده می شوید چه اتفاقی می افتد و چگونه می توانید از خودتان محافظت کنید؟

متاسفانه هیچ راهی برای رمزگشایی فایل هایی که به باج افزار Dharma cmb آلوده شدند به صورت رایگان وجود ندارد.

این خانواده از باج افزار از طریق هک کردن سرویس ریموت دسکتاپ توزیع می شود

خانواده باج افزار Dharma از جمله Cmb توسط مهاجمان بر روی کامپیوترها به صورت دستی از طریق سرویس ریموت دسکتاپ (RDP) نصب می شود. مهاجمان، اینترنت را برای کامپیوترهایی که RDP را اجرا میکنند معمولاً بر روی پورت TCP 3389 اسکن می کنند و سپس تلاش می کنند تا رمز عبور رایانه را هک کنند.

هنگامی که آنها به کامپیوتر دسترسی پیدا می کنند باج افزار را نصب می کنند و میگذارند که باج افزار سیستم را رمزنگاری کند. اگر مهاجمان قادر به رمزنگاری رایانه های دیگر در شبکه باشند تلاش خواهند کرد که این کار را نیز انجام دهند.

چگونه باج افزار CMB Dharma کامپیوتر را رمزنگاری می کند

هنگامیکه نسخه Cmb باج افزار بر روی رایانه نصب باشد، فایل های رایانه را اسکن می کند و آنها را رمزنگاری می کند. هنگام رمزنگاری فایل یک پسوند با فرمت .id-[id].[email].cmb به آن اضافه می شود. به عنوان مثال نام فایل test.jpg بعد از رمزنگاری به test.jpg.id-BCBEF350.[paymentbtc@firemail.cc].cmb تغییر پیدا می کند.

لازم به ذکر است که این باج افزار mapped network drives و shared virtual machine host drives و unmapped network shares را رمزنگاری می کند. بنابراین مهم است که مطمئن شوید شبکه هایی که به اشتراک گذاشته شده اند (network shares) قفل شده اند و فقط به کسانی که واقعاً نیاز دارند، دسترسی داده شود.

شما می توانید یک نمونه از پوشه ای که توسط باج افزار Cmb رمزنگاری شده است را در زیر ببینید.

فایل های رمزنگاری شده توسط باج افزار Dharma Cmb

 

هنگام رمزنگاری فایل ها باج افزار دو یادداشت مختلف باج خواهی بر روی رایانه آلوده می سازد. یکی از فایل ها Info.hta است که زمانی که کاربر وارد سیستم می شود توسط یک autorun اجرا می شود.

یادداشت باج خواهی Dharma Cmb

 

یادداشت دیگر FILES ENCRYPTED.txt نامیده می شود که می توانید بر روی دسکتاپ پیدا کنید.

متن یادداشت باج خواهی Cmb

هر دوی این یادداشت های باج خواهی شامل دستورالعمل هایی برای تماس با paymentbtc@firemail.cc جهت دریافت دستورالعمل های پرداخت می باشند.

در نهایت، باج افزار خود را پیکربندی خواهد کرد تا به صورت خودکار هنگام ورود به ویندوز شروع به کار کند و این اجازه می دهد که فایل های جدید که از زمان آخرین اجرا ساخته شدند رمزنگاری شوند.

یک بار دیگر، در این زمان هیچ راهی برای رمزگشایی فایل هایی که توسط باج افزار Dharma Cmb آلوده شدند به صورت رایگان وجود ندارد.

چگونه خود را از باج افزار Dharma Cmb محافظت کنید

به منظور محافظت خود از Dharma و یا هر باج افزار دیگر مهم است که اقدامات پیشگیرانه انجام دهید و از نرم افزار امنیتی استفاده کنید. در ابتدا و مهمتر از همه، همیشه بایستی یک پشتیبان (Backup) مطمئن و آزمایش شده از داده های خود داشته باشید که بتواند در موارد اضطراری مثل حمله باج افزار، اطلاعات شما را بازگرداند.

نصب یک آنتی ویروس امنیتی با آخرین تکنولوژی و متد رفتارسنجی بسیار ضروری است. آنتی ویروس بیت دیفندر سابقه ای درخشان در زمینه شناسایی و مقابله با باج افزاران و آلودگی ها دارد. بیت دیفندر در زمینه ی پشتیبانی نیز بسیار عالی عمل میکند. بیت دیفندر سازمانی و خانگی به سادگی قابل تهیه و استفاده میباشند.

به عنوان مثال، باج افزار Dharma به طور معمول از طریق هک کردن سرویس های ریموت دسکتاپ، خود را نصب می کند پس بسیار مهم است که مطمئن شوید که این سرویس ها را به درستی قفل کرده اید که این قضیه متضمن این است که مطمئن شوید هیچ کامپیوتری که از سرویس ریموت دسکتاپ استفاده می کند به صورت مستقیم به اینترنت وصل نباشد. در عوض، کامپیوترهایی را که از ریموت دسکتاپ استفاده می کنند را پشت VPN قرار دهید تا فقط کسانی که در شبکه شما حساب VPN دارند، قابلیت دسترسی داشته باشند.

همچنین مهم است که سیاست های قفل گذاری مناسبی برای اکانت ها در نظر بگیرید تا از اینکه سرویس های ریموت دسکتاپ به سادگی هک شوند جلوگیری کنید.

 

- بکاپ، بکاپ، بکاپ

- فایل های کرک و پچ را دانلود نکنید و درصورت دانلود از سایت های معتبر دانلود نمایید.

- فایل های ضمیمه ی ناشناس که به دستتان میرسد را باز نکنید.

- فایل های ضمیمه را با یک آنتی ویروس خوب اسکن نمایید و یا در سایت   virus Totalبررسی کنید.

-  سرویس های ریموت دسکتاپ را مستقیما به اینترنت متصل نکنید به جای آن، مطمئن شوید که تنها با استفاده از اتصال وی پی ان وارد شوند.

- از نصب فایل های ویندوز آپدیت اطمینان حاصل فرمایید. همچنین از نصب به روز رسانی های امنیتی دیگر نرم افزار ها همچون جاوا، فلش و ادوبی ریدر و دیگر نرم افزار های قدیمی که ممکن است حفره های امنیتی داشته باشند اطمینان حاصل فرمایید.

منبع: www.bleepingcomputer.com