شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
محققان کسپرسکی درباره ظهور مجدد و قدرتمندتر از پیش باجافزار Crysis هشدار میدهند.
به گزارش پایداری ملی، چند روز گذشته Michael Gillespie، متخصص امنیتی باجافزارها، نوع جدیدی از باجافزارها را کشف کرد که تمامی فایلها را به فرمت .arena در هنگام رمزنگاری دادهها تغییر میدهد. دقیقا مشخص نیست که این باجافزار چگونه شیوع مییابد، اما در گذشته از طریق سرویس کنترل از راه دور دسکتاپ و نصب باجافزار بر روی سیستم به آلودگی و گسترش میپرداخت.
هنگامی که باجافزار بر روی سیستم نصب میشد، کامپیوتر را برای انواع فایلهای خاص اسکن و آنها را رمزنگاری میکرد. هنگام رمزنگاری یک فایل فرمت .id-[id].[email].arena به فایلها اضافه میشد. به عنوان مثال اگر یک فایل test.jpg نام داشت هنگام رمزنگاری توسط باجافزار به test.jpg.id-BCBEF۳۵۰.[chivas@aolonline.top].arena تبدیل میشد. این باجافزار درایوها و اشتراکگذاریهای شبکه را نیز رمزنگاری میکند. از این رو اطمینان حاصل کردن قفل اشتراکگذاری شبکه و باز کردن دسترسی آن تنها برای افرادی مهم است که واقعا به آن نیاز دارند.
شما میتوانید در تصویر زیر نمونهای از فولدر رمزنگاری شده توسط باجافزار Crysis را مشاهده کنید.
به دلیل اینکه Crysis با اجرای فرمان زیر نسخههای Shadow Copy را از روی سیستم حذف میکند، بنابراین نمیتوانید از آنها برای بازگردانی فایلهای رمزنگاری شدهی خود استفاده کنید. باجافزار آنها را با اجرای دستور delete shadows /all /quiet از روی سیستم حذف خواهدکرد، اما Crysis در طول مدت خرابکاری خود دو یادداشت برای شما به جای میگذارد. یکی از آنها فایل info.hta است که توسط یک autorun راهاندازی شدهاست و یادداشت دیگری که از خود برای شما به جای میگذارد FILES ENCRYPTED.txt است.
هر دوی این یادداشتها شامل دستورالعملهایی هستند که برای پرداخت و تماس با ایمیل chivas@aolonline.top برنامهریزی شدهاند و اما درنهایت باجافزار خودش را هنگامی که شما به ویندوز وارد میشوید پیکربندی خواهدکرد. این کار به او این اجازه فایلهایی را میدهد که برای رمزنگاری از زمان آخرین اجرا از قلم انداختهاست.
درحالحاضر امکان رمزگشایی فایل ها توسط باجافزار Crysis وجود ندارد. متاسفانه درحالحاضر امکان رمزگشایی فایلهای .arena که توسط باجافزار Crysis رمزنگاری شدهاست وجود ندارد.
تنها راه بازیابی فایلهای رمزنگاری شده از طریق بکآپ است و اگر شما به طور باورنکردنی خوششانس هستید میتوانید از طریق Shadow Volume Copies این کار را انجام دهید. اگرچه Crysis در حمله خود تلاش میکند تا نسخههای Shadow Volume Copies را حذف کند، اما در موارد بسیار نادر قادر به انجام این کار نخواهدبود و همین میتواند برای شما یک خوششانسی بزرگ را به ارمغان بیاورد.
به همین دلیل اگر که شما نسخه پشتیبان را تهیه نکردهاید و به دام این باجافزار افتادهاید پیشنهاد میکنیم که آخرین راه را برای بازگردانی فایلهای خود یعنی همان Shadow Volume Copies را امتحان کنید.
برای محافظت در برابر Crysis و دیگر باجافزارها مهم است که از یک نرمافزار امنیتی مناسب استفاده کنید. مسلم است که هیچچیز به اندازه استفاده نرمافزار امنیتی نمی تواند از شما و اطلاعات شما محافظت کند. حتی در زمانی که شما نکات امنیتی را حین وبگردی رعایت نمیکنید.
اول و مهمتر از همه همیشه باید یک بکآپ قابل اعتماد و تست شده از تمامی اطلاعات خود داشتهباشید. علت تاکید ما برای بکآپگیری به این دلیل است که اگر زمانی شما به یکی از باجافزارها گرفتار شدید میتوانید به راحتی از کنار آن بگذرید و از بکآپ فایلهای مهم و حیاتی خود استفاده کنید و بدون داشتن هیچ دغدغهای آنها را بازگردانی کنید.
شما هچنین باید از یک نرمافزار امنیتی مناسب استفاده کنید که رفتارهای بدافزارها را تشخیص میدهد و قبل از انجام رفتارهای مخرب بر روی سیستم آن را مسدود میکند. اطمینان حاصل کنید که نرمافزارهای امنیتی شما بهخوبی بهروزرسانی میشوند و عملکرد آنها صحیح است و اما رعایت موارد زیر را فراموش نکنید:
• بکآپگیری یکی از مهمترین، مهمترین و مهمترین فعالیتهای امنیتی است که هر کاربر باید آن را به طور منظم انجام دهد.
• در صورتیکه فرستنده پیوستهای ایمیل را نمیشناسید بههیچوجه آنها را باز نکنید. پس از مطمئن شدن از هویت واقعی شخص فرستنده، ایمیل را باز کنید.
• پیوستهای ایمیل را با ابزارهایی همانند VirusTotal اسکن کنید.
• از آپدیتهای منظم و به موقع ویندوز خود اطمینان حاصل کنید. همچنین از آپدیت تمامی برنامهها خصوصا جاوا، فلش، ادوبریدر مطمئن شوید. برنامههای قدیمی شامل آسیبپذیریهای امنیتی هستند که توسط توزیعکنندگان بدافزارها مورد سوءاستفاده قرار میگیرند. به همین خاطر بهروزرسانی به موقع آنها حائز اهمیت است.
• استفاده از نرمافزار امنیتی قابل اعتماد و همچنین قوی را فراموش نکنید.
• از رمز عبورهای سخت برای حسابهای کاربری خود استفاده کنید و از تکرار رمزعبورهای استفاده شده بپرهیزید.
• اگر از سرویس های Remote Desktop استفاده میکنید، آن را مستقیما به اینترنت متصل نکنید. شما میتوانید هنگام استفاده از آن به منظور امنیت بیشتر از یک VPN استفاده کنید. شما همچنین میتوانید برای حفظ امنیت بیشتر خود از آنتیویروس رایگان کسپرسکی استفاده کنید.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲