کمیته رکن چهارم – باجافزار جدیدی با عنوان Rapid در حال انتشار است که پس از رمزگذاری فایلهای موجود بر روی دستگاه آلوده شده همچنان محتوای دیسک سخت را تحت رصد قرار داده و در صورت ایجاد هر فایل جدید اقدام به رمزگذاری آن میکند. هر چند این ویژگی تنها منحصر به Rapid نیست اما رفتار رایجی در میان باجافزارها محسوب نمیشود.
با اجرای این باجافزار، پروسهای با عنوان rapid.exe از طریق فرامین زیر نسخههای موسوم به Windows Shadow Volume را حذف کرده و امکان بازیابی خودکار را غیرفعال میکند:
- vssadmin.exe Delete Shadow /All /Quiet
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
هچنین Rapid پروسههای پایگاه داده زیر را نیز متوقف میکند:
- sql.exe
- sqlite.exe
- oracle.com
هدف از متوقف کردن این پروسهها آزاد شدن بانکهای داده و در نتیجه فراهم شدن امکان رمزگذاری فایل آنها توسط Rapid است.
این باجافزار به فایلهای رمزگذاری شده پسوند rapid را الصاق میکند.
ضمن اینکه اطلاعیه باجگیری خود را با عنوان How Recovery Files.txt نیز در پوشههای مختلفی از جمله در Desktop کپی میکند.
در اطلاعیه باجگیری نسخههای مختلف این باجافزار از ایمیلهای زیر استفاده شده است:
- frenkmoddy@tuta.io
- jpcrypt@rape.lol
- support@fbamasters.com
- unlockforyou@india.com
- rapid@rape.lol
- fileskey@qq.com
- fileskey@cock.li
با راهاندازی مجدد شدن دستگاه، نام پروسه به info.exe تغییر داده میشود.
همچنین با ایجاد کلیدهای زیر در محضرخانه در هر بار راهاندازی شدن دستگاه خود را به صورت خودکار به اجرا در میآورد:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Encrypter”=”%AppData%\info.exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “userinfo”=”%AppData%\recovery.txt”
همانطور که اشاره شد باجافزار Rapid پس از تکمیل رمزگذاری فایلهای کاربر، همچنان اضافه شدن فایلهای جدید را زیر نظر داشته و در صورت ایجاد هر فایل جدید آن را نیز رمزگذاری میکند.
متاسفانه در حال حاضر، امکان بازگردانی فایلهای رمزگذاری شده توسط این باجافزار بدون در اختیار داشتن کلید رمزگشایی فراهم نیست.
توضیح اینکه نمونه بررسی شده در این خبر با نامهای زیر شناسایی میشود:
McAfee:
– RDN/Generic.hbg
Bitdefender:
– Gen:Trojan.Heur.JP.4CW@a4kbhRfi
مچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژههای پیچیده را مجاز به استفاده از آن کنید.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دورهها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.