GPAA، باج‌افزاری برای نجات کودکان؟!

رکن چهارم – در این مقاله به موضوع باج افزاری با عنوان GPAA می پردازیم که به بهانه کمک به کودکان اخاذی می کند.

باج‌افزار جدیدی شناسایی شده که در اطلاعیه باج‌گیری (Ransom Note) آن با عنوان “Save Children” ضمن تبریک به قربانی به جهت عضویت در سازمان جهانی کمک به فقر (GPAA) گفته می‌شود که هدف از کارزار باج‌افزار جمع‌آوری ۱۰۰۰ بیت‌کوین برای نجات کودکان، با شعار هر کودک یک بیت‌کوین است.

رنسامویر gpaa

مشخص است که هدف ویروس‌نویس یا ویروس‌نویسان این باج‌افزار فقط اخاذی بوده و از عنوان “نجات کودکان” و سازمان ساختگی GPAA صرفاً برای موفقیت بیشتر در تشویق قربانیان به پرداخت باج استفاده شده است.

باج‌افزار GPAA فایل‌های با هر یک از پسوندهای زیر را هدف قرار می‌دهد:

.۱۲۳, .۳dm, .3dmap, .3ds, .3dxml, .3g2, .3gp, .602, .7z, .accdb, .act, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .assets, .avi, .backup, .bak, .bat, .bdf, .blendl, .bmp, .brd, .bz2, .c, .c4dl, .catalog, .catanalysis, .catdrawing, .catfct, .catmaterial, .catpart, .catprocess, .catproduct, .catresource, .catshape, .catswl, .catsystem, .cdd, .cgm, .class, .cmd, .config, .cpp, .crt, .cs, .csr, .csv, .dae, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .edb, .eml, .fbx, .fla, .flv, .frm, .gif, .gl, .gl2, .gpg, .gz, .h, .hpgl, .hwp, .ibd, .icem, .idf, .ig2, .igs, .ipt, .iso, .jar, .jasl, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .library, .m3u, .m4u, .mal, .max, .maxl, .mb, .mdb, .mdf, .mid, .mkv, .mml, .model, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .obj, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .session, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .step, .sti, .stp, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tdg, .tgz, .tif, .tiff, .txt, .unity3d, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wrl, .xl, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, .xmind

با رمزگذاری فایل، نام آن تغییر یافته و عبارت cerber6. به عنوان پسوند جدید به آن الصاق می‌شود. برای مثال نام و پسوند فایل test.jpg پس از رمزگذاری به ۲BiwaFbX6wlPaDSy.cerber6 تغییر می‌یابد.

بر خلاف بدافزارهای معمول، این باج‌افزار خود را در هر بار راه‌اندازی سیستم فراخوانی نکرده و فایل‌های اجرایی خود را نیز پس از پایان رمزگذاری از روی سیستم حذف می‌کند. همچنین هر پوشه ای که حداقل از فایل‌های آن رمزگذاری شده باشد فایل اطلاعیه باج‌گیری با نام READ.htm! کپی می‌شود.

بر اساس بررسی‌های انجام شده توسط یکی از محققان امنیتی، رمزگشایی رایگان فایل‌های رمزگذاری شده توسط این باج‌افزار، حداقل در حال حاضر، امکان‌پذیر نیست.

در زمستان ۹۵ نیز باج‌افزاری با نام Popcorn Time شناسایی شد که سازندگان آن ادعا می‌کردند باج دریافت شده را صرف تهیه غذا، دارو و پناهگاه برای سوری‌های آواره از جنگ خواهند کرد.

برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

از ضدویروس قدرتمند و به‌روز استفاده کنید. توضیح اینکه باج‌افزار GPAA توسط ضدویروس‌های McAfee و Bitdefender به ترتیب با نام‌های Artemis!BF58714838ED و Gen:Win32.FileInfector.kmGfa8hwnmfi شناسایی می‌شوند.
از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه دخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر می‌خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.

منبع: شبکه گستر