باج افزار جدید Cobra Crisis سیستم های بسیاری را آلوده کرده است

باج افزار جدید و مخرب Cobra Crisis به تازگی توسط محققان امنیتی کشف شده است و سیستم های بسیاری را به خود آلوده کرده است. با آنتی ویروس بیت دیفندر میتوانید از سازمان خود محافظت نمایید. بیت دیفندر سازمانی و بیت دیفندر خانگی توسط نمایندگی بیت دیفندر (پانا فناور پارسیان) آماده خدمات رسانی و پشتیبانی بیت دیفندر برای شما هستند.

این هفته مایکل گیلزپای از ID-Ransomware متوجه شد که نوع جدیدی از باج افزار Crysis/Dharma در سایتش (ID-Ransomware) ظاهر شده است.

سپس جاکوب کروستک یک نمونه از باج افزار را کشف کرد تا ثابت کند که در واقع این باج افزار نوع جدیدی از باج افزار Crysis بوده است.

این ورژن جدید پسوند .cobra را به فایل های رمزگذاری شده اضافه می کند. دقیقاٌ مشخص نیست که این نوع از باج افزار چگونه توزیع شده است، اما در گذشته معمولاٌ Crysis توسط هک کردن سرویس های ریموت دسکتاپ و نصب دستی باج افزار گسترش پیدا کرده بود.

هنگامیکه این نوع باج افزار کبری نصب میشد، کامپیوتر را به منظور پیدا کردن فایل ها اسکن می کرد و آنها را رمزگذاری می کرد. هنگام رمزگذاری پسوند id-[id].[email].cobra. به فایل اضافه می شود، به عنوان مثال اگر نام فایل test.jpg باشد به test.jpg.id-BCBEF350.[cranbery@colorendgrace.com].cobra. تغییر نام پیدا می کند.

لازم به ذکر است که این باج افزار درایوهای مجموعه چه درایوهایی که به اشتراک گذاشته شده اند و چه درایوهایی که به اشتراک گذاشته نشدند را رمزگذاری می کند. پس این مهم است که مطمئن شوید درایوهای شیر قفل شده است، به طوری که تنها کسانی که واقعاٌ نیاز دارند اجازه دسترسی داشته باشند.

شما می توانید در زیر نمونه ای از فایل های رمزگذاری شده داخل یک فولدر را مشاهده کنید.

زمانی که این گونه یک سیستم را رمزنگاری میکند. فایل های مربوط به درایور های Shadow Copy را نیز از سیستم پاک میکند تا امکان بازیابی فایل های رمزگزاری شده وجود نداشته باشد. این اقدام پاکسازی نیز از طریق فرمان vssadmin delete shadows/ all/Quiet انجام میشود.

این باج افزار نیز دو یادداشت باج افزار بر روی سیستم آلوده میسازد. یکی از آنان فایل info.hta است که زمان اجرای باج افزار و در لحظه ی وارد شدن کاربر به سیستم بر روی صفحه ظاهر میشود.

یادداشت دیگر به نام File Encrypted!!.txt است و در دسکتاپ میباشد.

هر دوی این یادداشت ها شامل دستور العمل هایی برای تماس با cranbery@coloredgrace.com میباشد تا مراحل پرداخت انجام شود.

سر انجام، باج افزار به صورت خودکار شروع به پیکر بندی خود میکند تا زمان راه اندازی ویندوز باز شود.

امکان رمزگشایی باج افزار Crysis Cobra وجود ندارد

متاسفانه در حال حاضر امکان رمزگشایی فایل های کد شده با پسوند .cobra وجود ندارد.

تنها راه بازگشت فایل ها از طریق بکاپ میباشد. یا اگر فوق العاده خوش شانس باشید از طریق درایور های shadow Volume  copies میتوانید برخی از فایل ها را باز گردانید. در حال که این باج افزار سعی بر حذف درایور های Shadow دارد. در موارد نادر، باج افزار از انجام اینکار بنا به هر دلیلی ناکام میماند. بر این اساس اگر بکاپ قابل اتکایی نداشته باشید میتوانید این عمل را انجام دهید.

پیشگیری و محافظت

برای محافظت در برابر باج افزار Crysis یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • بکاپ، بکاپ، بکاپ
     
  • فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید.
     
  • فایل های ضمیمه شده را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
     
  • از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و تنها از vpn استفاده کنید.