باج افزار بسیار خطرناک با پسوند BTC سیستم را رمزنگاری میکند

باج افزار دارما گونه ی جدید خود با پسوند btc را عرضه کرده است

باج افزاری جدید با پسوند BTC که به آلوده سازی سرور ها و رمزنگاری کامل سیستم میپردازد و در ژانویه 2019 عرضه شده است. این باج افزار احتمالا با توجه به تشابه کد های اجرایی از خانواده ی باج افزار معروف و مخرب Dharma میباشد. این باج افزار در اکثر مواقع از ایمیل های اسپم و هرزنامه انتقال میابد و از فایل های اسنادی (اکسل و ورد) و اسکریپت های آلوده در سیستم قربانی اجرا میشوند. با توجه به مستنداتی که من از یک سیستم آلوده دریافت کردم این باج افزار برخی از فایل های اجرایی را نیز علاوه بر فایل های دیگر رمزنگاری میکند. پس از آن تا زمانی که آلودگی در سیستم وجود دارد امکان اجرای هیچ نرم افزاری را در سیستم نخواهید داشت و تنها فایل های نوت متعدد به همراه دستور العمل پرداخت به هکران جهت بازگردانی فایل هایتان را میتوانید باز کنید. مبلغ 1 الی 1.5 بیت کوین مبلغ درخواستی این آلودگی میباشد.

 

چگونه این باج افزار وارد شبکه میشود؟

همانطور که بالاتر توضیح دادم، این باج افزار در وهله ی اول از طریق هرزنامه و اسپم وارد سیستم قربانی میشود. این آلودگی دارای اسکریپت های آلوده است و همچنین ساختار این آلودگی در فایل های اسناد همچون ورد و اکسل وجود دارد و این اسناد در سازمان ها و شرکت ها بسیار رایج هستند و احتمال شیر شدن این فایل ها و پخش این آلودگی در شبکه از احتمال بالایی برخوردار میباشد.  این باج افزار در صورت وارد شدن از یک سیستم در یک شبکه ی محلی یا لوکال امکان پخش در کل شبکه و دیگر سیستم ها را دارد. بنا براین مواردی هستند که میبایست در راستای برقراری امنیت در شبکه انجام شوند.

این باج افزار میتواند خود را از هوش مصنوعی و سیستم اسکن بسیاری از آنتی ویروس ها مخفی نگه دارد ولیکن با نام های زیر در اسکن شناسایی میشود:

  • malicious_confidence_99% (D);
  • ML.Attribute.HighConfidence;
  • HEUR/QVM10.1.0000.Malware.Gen;
  • Ransom.BTCLocker;
  • virus.win32.sality.at

اقدامات بسیاری جهت پیشگیری از آلوده نشدن به این باج افزار وجود دارد که به آن میپردازیم:

- گرفتن بکاپ های ممتد از اطلاعات حساس سرور و دیگر سیستم ها در بازه های زمانی مشخص و منظم. دقت داشته باشید که پروسه گرفتن بکاپ نیز بسیار مهم است. به هیچ عنوان از حافظه های های سخت افزاری که قابلیت write و modify دارند استفاده نکنید و ترجیحا برای امنیت بیشتر از متد های پیشرفته ی بکاپ و پشتیبانی استفاده کنید یا در صورت نداشتن زیرساخت های پیشرفته، از دی وی دی استفاده کنید چرا که به طور مثال هارد اکسترنالی که به سیستم متصل باشد امکان آلوده شدن و کد شدن اطلاعات بکاپ را دارد.

- دسترسی درایور های سرور را به هیچ عنوان در شبکه به اشتراک نگذارید و یا در صورت انجام اینکار دسترسی full Control به آنان ندهید. بلکه تنها قابلیت Read را داشته باشند. همچنین امکان شیر کردن درایور های سرور را محدود کنید.

- از به روز رسانی پچ ها و آپدیت های امنیتی ویندوز غافل نشوید. بسیاری از باج افزاران از طریق رخنه ها و نقص های فایل های سیستمی ویندوز وارد میشوند لذا به روز رسانی ویندوز های مجموعه بسیار حائز اهمیت است. به طور مثال پورت های مرتبط با SMB که نقص های فراوانی دارند. شما میتوانید با آپدیت پروتکل SMB که مربوط به سرویس مسیجینگ میباشد از آلوده شدن بسیاری از سیستم های مجموعه جلوگیری کنید. برای دانلود آپدیت پورت های SMB اینجا کلیک کنید.

- دسترسی ریموت سرور را به بیرون از شبکه محدود کنید. بسیاری از آلودگی ها به صورت اکسپلویت آلوده میباشند که به یک سرور C&C متصل هستند و از فرمان های مهاجمین از راه دور بر روی یک سیستم آلوده را اجرا میکنند. این اکسپلویت ها از طریق ریموت دسکتاپ میتوانند انتقال پیدا کنند.

- در صورت داشتن میل سرور اکسچنج میتوانید از نسخه ی ادونس بیزینس سکیوریتی بیت دیفندر استفاده کنید که امکان پوشش میل باکس های مجموعه شما را دارد و شما میتوانید هرزنامه ها، اسپم ها و آلودگی های مرتبط با باج افزاران را فیلتر کنید.

- داشتن فایروال سخت افزاری و محدود سازی پورت های باز و دسترسی های دیگر نیز میتواند تا حد بسیار زیادی شبکه ی شما را امن نگه دارد.

- نصب یک آنتی ویروس ایده آل نیز تا حدود بسیار زیادی شبکه ی شما را از شر باج افزاران و تروجان ها امن نگه میدارد اما لازمه ی آن نصب آنتی ویروس و اعمال موازین امنیتی بر روی تمامی سیستم ها میباشد. پیشنهاد ما به شما آنتی ویروس بیت دیفندر میباشد چرا که بیت دیفندر سال گذشته در زمینه ی سبکی، عملکرد و شناسایی توسط لابراتوری Av-comparatives.org محصول برتر سال گردید.

در آخر باید گفت در حال حاضر هیچگونه کلیدی جهت رمزگشایی این باج افزار وجود ندارد. و قربانیان میبایست اطلاعات کد شده ی خود را تا اطلاع ثانوی ذخیره داشته باشند تا محققان امنیتی بتوانند رمزگشای مخصوص این باج افزار را طراحی کنند که خود نیازمند بازه ی زمانی طولانی و روندی مشکل میباشد.

 

تهیه شده: پشتیبانی فنی شرکت پانا