شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
اگر یک رایانامهای دریافت کردید که به شکل صورت حساب یک شرکت و حاوی یک پروندهی مایکروسافت ورد بود، قبل از کلیک کردن روی آن فکر کنید.
چنین چیزی به سامانهی شما آسیب میرساند و میتواند باعث خرابی فاجعهآفرینی شود.
نفوذگرها معتقدند که میتوانند فریبهای مهندسی اجتماعی با موضوعات چشمگیر در هرزنامهها انجام دهند و وبگاههای قربانیان را تطمیع میکنند تا یک باجافزار مخرب را روی سامانهشان نصب کنند.
بنابراین، اگر پروندههای گسترشدهندهی Locky را روی شبکهتان یافتید، تبریک میگویم! سامانهی شما آلوده شده است و تنها دو راه حل دارید: رایانهتان را از نو بسازید یا باج را بپردازید.
باجافزار Locky با سرعت ۴۰۰۰ آلودگی تازه در هر ساعت در حال پخش شدن است، یعنی تقریباً ۱۰۰ هزار آلودگی جدید در هر روز.
ماکروهای مایکروسافت بازگشتهاند
هضم این حقیقت، آن هم در سال ۲۰۱۶، که یک پروندهی ورد تنها میتواند سامانهی شما را با فعالسازی ماکروها در معرض خطر کشف رمز قرار دهد، کاری دشوار است و این همان جایی است که باید از استعداد خالص نفوذگر قدردانی کرد.
باجافزار Locky با مایکروسافت ۳۶۵ یا با Outlook به شکل پیوست رایانامهی مبدل پخش میشود (پروندهی وردی که دستورالعملهای ماکرو مخرب را در خود جای داده است.)
مفهوم ماکرو به دههی ۱۹۹۰ باز میگردد. شما باید با این پیام بیشتر آشنا شوید: «اخطار: این سند حاوی ماکرو است.»
ماکرو بازگشته است و مجرمان سایبری راهی جدید برای دسترسی به کاربران اینترنت کشف کردهاند تا اسناد مایکروسافت آفیس را باز کنند به خصوص پروندههای ورد را که به ماکروها اجازهی راهاندازی خودکار را میدهد.
باجافزار Locky چگونه کار میکند؟
هنگامی که کاربر یک سند ورد مخرب را باز میکند، پرونده روی سامانه بارگیری میشود. اما، زمانی این پیام خطرناک میشود که کاربر پرونده را باز کند و بفهمد که پیام درهم آمیخته است و پیامی ظاهر شود که بگوید «ماکرو فعال شد.»
جنبهی بد ماجرا وارد میشود:
•هنگامی که قربانی ماکرو را فعال کند (ماکروی مخرب)، در واقع یک پروندهی قابل اجرا را از یک کارگزار از راه دور بارگیری و آن را اجرا کرده است.
•این پروندهی قابل اجرا به خود خود چیزی نیست اما هنگامی که باجافزار Locky راهاندازی شد، شروع به رمزگذاری تمامی پروندهها روی رایانهتان و همچنین شبکه میکند.
باجافزار Locky تقریباً روی قالب تمامی پروندهها تاثیر میگذارد و پروندهها را رمزگذاری کرده و نام پرونده را با نام locky جایگزین میکند.
هنگامی که پرونده رمزگذاری شد، این باجافزار پیامی را به نمایش میگذارد که از قربانی میخواهد TOR را بارگیری کرده و از وبگاه نفوذگر دیدن کند تا دستورالعملهای بعدی و پرداخت پول را ببیند.
باجافزار locky از قربانی میخواهد تا بین ۰٫۵ تا ۲ بیتکوین ( ۲۰۸ تا ۸۰۰ دلار) بپردازد تا گذرواژهی پروندهی رمزگذاریشده را بگیرد.
یک مورد قابل توجه در مورد این باجافزار این است که به زبانهای بسیاری ترجمه میشود، که حملاتش را فراتر از مرزهای انگلیس انجام داده و صدمات دیجیتالی را به حداکثر برساند.
Locky حتی پروندههای پشتیبانی مبتنی بر شبکه را نیز رمزگذاری میکند.
این باجافزار جدید حتی میتواند پروندههای پشتیبانی مبتنی بر شبکه را نیز رمزگذاری کند. بنابراین زمان این رسیده که پروندههای مهم و حساستان را در یک فضای ذخیرهسازی سوم شخص به عنوان یک پشتیبان نگه دارید تا از آلودگی باجافزارهای آینده در امان باشند.
اول از همه محققی به نام کوین بومانت به همراه لاری آبرامز از BleepingComputer، بدافزار رمزگذاریکنندهی Locky را کشف کردند.
برای بررسی تاثیر این بدافزار، کوین با موفقیت ترافیک Locky را دیروز رهگیری کرده و تشخیص داد که این بدافزار رمزگذار به سرعت در دنیا در حال پخش است.
کوین در یک پست وبلاگی گفت: «تخمین زدم که ۱۰۰ هزار نقطهی جدید تا آخر روز با Locky آلوده خواهند شد و باعث این حملهی امنیتی سایبری بزرگ شده است، به طوری که طی سه روز تقریباً یک چهارم یک میلیون رایانهی شخصی آلوده خواهند شد.
یک ساعت از آمار آلودگی
در بین کشورهایی که بیشترین تأثیر را از این باج افزار داشتهاند میتوان کشورهای زیر را نام برد:
آلمان، هلند، ایالات متحدهی آمریکا، کره، مالی، عربستان صعودی، مکزیک، لهستان، آرژانتین و صربستان.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲