کمیته رکن چهارم – باج افزار جدیدی که برخی از رفتارهای آن مشابه بدافزار نسبتاً جدید و مشهور Dridex است، در نقاطی از جهان، کاربران زیادی را گرفتار کرده است.
به گزارش کمیته رکن چهارم،بسیاری از قربانیان باج افزار جدید Locky با گشودن یک فایل مخرب Word که در ظاهر یک صورتحساب است و از طریق ایمیل دریافت کرده اند، گرفتار شده اند.
فایل مخرب Word حاوی فرامین Macro است و چون به طور پیش فرض، اجرای این فرامین در نرم افزار Office غیرفعال می باشد، برای شروع عملیات مخرب باج افزار Locky، دخالت کاربر و قبول اجرای فرامین Macro ضروری و لازم است.
با اجرای فرامین Macro، باج افزار Locky دریافت و بر روی کامپیوتر قربانی فعال می گردد. این روش مشابه روش بکار گرفته شده در باج افزار Dridex است.
با توجه به روش آلوده سازی یکسان و مشابهت در نامگذاری فایلهای مرتبط با باج افزار، احتمال داده می شود که باج افزار جدید Locky نیز ساخته و پرداخته، سازندگان باج افزار Dridex باشد.
باج افزار یا Ransomeware نوعی بدافزار است که فایلهای موجود بر روی کامپیوتر قربانی خود را رمزگذاری می کند تا دیگر قابل دسترس برای کاربر نباشد. سپس از کاربر برای رمزگشایی فایلها درخواست باج می شود.
تصویر فوق، صفحه ای است که قربانیان Locky برای پرداخت باج به آن هدایت می شوند.
طبق آمار و مشاهدات شرکت امنیتی Palo Alto Networks، باج افزار جدید Locky بصورت گسترده از طریق ارسال انبوه هرزنامه (Spam) منتشر شده است. در روزهای اخیر این شرکت، بیش از ۴۰۰ هزار ارتباط برای دریافت فایل اولیه باج افزار به نام Bartallex که وظیفه دریافت فایل اصلی Locky را برعهده دارد، مشاهده کرده است.
بیش از نیمی از قربانیان Locky کاربران آمریکایی هستند و پس از آمریکا، بیشترین تعداد قربانیان در کشورهای کانادا و استرالیا مشاهده شده اند.
برخلاف باج افزارهای رایج امروزی، باج افزار Locky ابتدا کلید رمزگذاری را از مرکز فرماندهی خود دریافت می کند و آنرا به سادگی در حافظه نگه داشته و برای رمزگذاری فایلها از آن استفاده می کند. ولی اغلب باج افزارهای امروزی، ابتدا یک کلید رمزگذاری شانسی بر روی کامپیوتر قربانی ایجاد کرده و نسخه رمزگذاری شده ای از آنرا به مرکز فرماندهی خود ارسال می کنند. بدین ترتیب به نظر می رسد که کشف رمز و به دست اوردن کلید رمزگشایی Locky بسیار آسانتر از باج افزارهای دیگر باشد.
تشخیص باج افزار Locky بر روی کامپیوترهای آلوده بسیار آسان است. فایلهای رمزگذاری شده بر روی کامپیوتر قربانی، همگی دارای پسوند locky. هستند.
برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
منبع: شرکت امنیتی Palo Alto Networks
