مقدمه
باج افزارها با استفاده از حفره های امنیتی و اشتباهات کاربران و مدیران شبکه به سیستم ها نفوذ کرده و اقدام به رمزگذاری فایل های کاربران می کنند. پس از رمزگذاری فایل های پر استفاده کاربر، پسوند btc را به آن ها الصاق می کنند. نسخه جدید از باج افزار Crysis / Dharma که گاهی به اسم Wallet هم شناخته می شود در گذشته به مقدار محدود و تنها در آمریکا دیده می شد اما جدیدا خبرهایی از نفوذ به بسیاری از سیستم ها در سراسر دنیا و حتی سیستم های ایرانی را سر زبان ها انداخته است. در این مقاله قصد بررسی کلی این باج افزار و نسخه جدید آن را داریم.
باج افزار (Ransomware) چیست؟
باج افزار نوعی بدافزار یا Malware است که در سیستم محدودیت ایجاد می کند و برای رفع آن درخواست پول می کند. روش های معمول آن قفل کردن هارد دیسک و یا کل سیستم و سپس نمایش پیغام درخواست پول است. جدیدا این روش حمله به کاربران در تمام کشورها در حال افزایش است. گاهی این درخواست پول مستقیم نیست و صاحبان باج افزار از روش هایی مثل نشان دادن پیغام خراب بودن ویندوز و نیاز به فعالسازی، مشکل کرک برخی نرم افزارها، تهدید به پخش عکس ها و فایل های شخصی و یا مسائل پورنوگرافی کاربران را میترسانند. به تازگی هکرها از دریافت ارزهای دیجیتال به جای پول استفاده می کنند که قابل ردیابی هم نباشد. همان طور که گفتیم نسخه جدید از باج افزار Crysis / Dharma هم جز دسته باج افزارها قرار می گیرد و به این صورت عمل می کند.
راه های انتشار باج افزار چیست؟
- ایمیل ها: ارسال فایل های آلوده به باج افزار به ایمیل کاربران به صورت Random یا هدف دار از روش های قدیمی آلوده کردن سیستم ها است. معمولا در متن ایمیل موضوع ترغیب کننده ای مانند برنده شدن جایزه نوشته می شود که کاربران تمایل به کلیک و باز کردن آن داشته باشند. حتما به ایمیل های با متن های ترغیب کننده مشکوک باشید و تا حد ممکن ایمیل افراد ناشناس را باز نکنید و حتما از دانلود فایل هایی که مطمئن نیستید در ایمیل و قسمت های دیگر اینترنت خودداری کنید.
- تبلیغات اینترنتی: در این روش تبلیغات ترغیب کننده ای مثل تخفیف زیاد و یا برنده شدن مبلغ و یا جایزه ای استفاده می شود در نظر داشته باشید هیچ کس در راه رضای خدا به شما جایزه و تخفیف نمی دهد! و از باز کردن تبلیغات مشکوک هم خودداری کنید.
- شبکه های اجتماعی: با توجه به تعاملات بالای کاربران در شبکه های اجتماعی مختلف و حجم بالای پیام ها این شبکه ها به بستر بسیار مناسبی برای انشتار باج افزارها تبدیل شده اند. به خصوص با امکان ساخت پروفایل ها و دزدیدن و کپی کردن هویت افراد مختلف این کار بسیار راحت شده است. نسخه جدید از باج افزار Crysis / Dharma هم از این روش به مقدار زیادی منتشر شده است.
- اکسپلویت ها: اکسپلویت ها کدهایی هستند که برای استفاده از حفره های امنیتی سیستم با هدف استفاده و ایجاد دسترسی، ایجاد حملات مختلف و یا اختلال در سامانه های کامپیوتری نوشته می شوند. اکسپلویت ها معمولاً هنگام کشف نقاط ضعف یا بعد از کشف حفره های امنیتی نوشته می شوند؛ بنابراین با بروزرسانی مداوم سامانه عامل و نرم افزارهای سیستم تا حد زیادی می توان جلوی انتقال باج افزار از طریق حفره های امنیتی و نرم افزارها را گرفت.
چطور از آلوده شدن سیستم خود جلوگیری کنیم؟
در مواردی که بالا گفته شد در هر مورد به طور مختصر به نکات قابل توجه برای پیشگیری از آلوده شدن سیستم اشاره شد. مقدار زیادی از این موضوع به آموزش دیدن و آموزش دادن استفاده از فضای مجازی بر می گردد به عنوان مثال کلیک نکردن و باز نکردن ایمیل ها و تبلیغات مشکوک و شک داشتن به مواردی که مربوط به برنده شدن مبلغ، جایزه و یا تخفیف هستند. همچنین در صورت دریافت ایمیل از طریق شرکت و یا افراد آشنا اگر درخواست باز کردن لینک، دانلود نرم افزار و یا انتقال پول در پیغام هست آدرس ایمیل و یا آیدی کاملا دقیق با اصل آن مقایسه شود. در بسیاری از موارد با تغییر یک حرف در اسم و یا آدرس شخص متوجه نشده و فریب می خورد. نصب و آپدیت کردن مداوم آنتی ویروس ها هم به مقدار زیادی جلوگیری کننده است.
نسخه جدید از باج افزار Crysis / Dharma چگونه عمل می کند؟
این باج افزار با نام های Crysis، Dharma و Wallet شناخته می شود. مشاهده آمارهای اخیر نشان از این موضوع است که این باج افزار شیوع بیشتری پیدا کرده است و در حال ازدیاد در سیستم های سراسر دنیاست. نسخه جدید از باج افزار Crysis / Dharma پس از رمزگذاری فایل های سیستم پسوند آن ها را به bip تغییر می دهد و دیگر این فایل ها قابل استفاده نیستند. این باج افزار از الگوریتم های رمزنگاری RDP و اکثرا درگاه TCP 3389 برای رمزگذاری فایل ها استفاده می کند (به معنای امکان اتصال از راه دور به سیستم کاربران) و به جز دایرکتوری های خاصی در درایو اصلی ویندوز، همه ی فایل های موجود در سیستم کاربر شامل تصاویر، فایل های ویدئویی، اسناد، پایگاه داده ها و … را رمزگذاری می کند. این باج ¬افزار همانند اکثر باج¬ا فزارها، پس از رمزگذاری فایل ¬ها از کاربران تقاضای پول و جدیدا بیت کوین می ¬کند.
علاوه بر سازمان ها و تشکیلات بزرگ، در بسیاری از سازمان های کوچک و متوسط نیز از RDP برای برقراری ارتباط از راه دور، اتوماسیون اداری و… استفاده می شود.
تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهایی با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات معروف به Brute Force می کنند.
هدف از اجرای این حملات نفوذ به دستگاه از طریق RDP با بکار گیری ترکیبی از نامهای کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.
در صورت برقرار شدن اتصال، مهاجمان نرم افزاری را بر روی سرور اجرا کرده و از آن برای دست درازی به تنظیمات و سرویس های نرم افزارهای ضدبدافزار، پشتیبان گیری و پایگاه داده نصب شده بر روی آن استفاده می کنند. در ادامه نیز فایل مخرب باج افزار را دریافت کرده و بر روی سرور به اجرا در می آورند.
تفاوت نسخه جدید از باج افزار Crysis / Dharma با نسخه های قبلی چیست؟
طبق بررسی ها فعالیت عمده سنخه جدید این باج افزار از ماه می در سال 2018 شدت گرفته است. نسخه های قبلی این باج افزار بیشتر روی کاربران انگلیسی زبان تمرکز داشت اما در نسخه جدید فعالیت آن به صورت جهانی است و طبق گزارش ها تمام سیستم ها در سراسر دنیا را آلوده می کند و مختص به منطقه خاصی نیست. در واقع جامعه هدف آن بسیار بیشتر شده است.
رعایت چه مواردی برای جلوگیری و پیشگیری از نسخه جدید از باج افزار Crysis / Dharma توصیه می شود؟
- هرچند وجود آنتی ویروس روی سیستم و حتی آپدیت بودن آن مبتلا نشدن به نسخه جدید از باج افزار Crysis / Dharma را تضمین نمی کند اما به مقدار زیادی مفید است و همچنین از آلوده شدن سیستم شما به حجم زیادی از بدافزارها و کرم های دیگر جلوگیری می کند. پس حتما یک آنتی ویروس معتبر را روی سیستم خود داشته باشید و همیشه آن را آپدیت نگه دارید.
- حتما توجه داشته باشید که فایروال سیستم شما همیشه روشن باشد و از نصب نرم افزارهایی که از شما می خواهند فایروال خود را خاموش کنید اکیدا دوری کنید.
- برای سیستم خود و همچنین پلتفرم های RDP حتما از رمز عبورهای پیچیده با ترکیبی از حروف کوچک و بزرگ، اعداد و علائم استفاده کنید. رمز عبورهای ساده به راحتی قابل هک شدن و بعضا حدس زده شدن هستند.
- اگر از قابلیت های RDP استفاده نمی کنید آن را غیرفعال کرده و فقط هنگام استفاده فعال کنید. فعال بودن همیشگی آن سیستم شما را در معرض دید قرار می دهد و به یک هدف تبدیل می شوید (در صورت امکان اگر برای کاربران یک شبکه از VPN برای ارتباط از راه دور استفاده شود امنیت در این مورد بالاتر می رود).
- قابلیت NLA را حتما برای RDP فعال کنید.
- همچنین موارد کلی که برای جلوگیری از باج افزارها گفتیم را برای نسخه جدید از باج افزار Crysis / Dharma رعایت کنید. ایمیل ها و تبلیغات با متن های مشکوک را باز کنید. حتی اگر فرد یا موسسه ای آشنا از شما درخواست باز کردن لینک یا نصب یک نرم افزار را دارند بسیار در این کار دقت کنید و تا حد ممکن اگر لازم نیست این کار را انجام ندهید. آدرس و آیدی افرادی که به شما ایمیل یا پیام می دهند و درخواستی غیرمعمول دارند را حتما به دقت بررسی کنید.
معرفی یک آنتی ویروس در صورت آلوده شدن سیستم به نسخه جدید از باج افزار Crysis / Dharma
حال ممکن است با رعایت تمام این نکات و یا با یک اشتباه سیستم شما به نسخه جدید از باج افزار Crysis / Dharma آلوده شود و فایل های شما رمزگذاری شود. این باج افزار فایل های شما را با .dharma.[email].[filename] رمزگذاری می کند. آنتی ویروس KasperSky یک قابلیت رمزگشایی این فایل ها را در نسخه جدید خود دارد که هرچند ممکن است طولانی باشد اما کاربردی و عملی است و فایل های شما را از شر قفلی که این باج افزار روی آن گذاشته خلاص می کند. همچنین پس از آن امکان پاک کردن این باج افزار از روی سیستم شما به طور کامل را نیز دارد و حتی نصب بودن این آنتی ویروس تا مقدار زیادی از آلوده شدن سیستم به این باج افزار پیشگیری می کند.
Leave A Comment