باج افزار Dharma

مقدمه

آیا نمی ‎دانید باج افزار Dharma چیست و در پی کسب اطلاعاتی درباره این باج افزار هستید، و یا آيا به تازگی با مشکلاتی که این باج افزار برایتان ایجاد کرده آشنا شده‎ اید؟ در هر صورت با این مطلب همراه باشید تا به اطلاعات کاربردی و کلیدی درباره باج افزار Dharma دست یابید. ما در ادامه شما را مختصرا با این باج افزار آشنا کرده و سپس نکات کلیدی در رابطه با جلوگیری از آلوده شدن سیستم‎ تان به این باج افزار ارائه می ‎دهیم.

آشنایی مختصری با باج افزار Dharma

باج افزار Dharma یک نوع بدافزار در گروه بدافزارهای در حال توسعه و پیشرفت است که آن را برای رمزنگاری فایل‎ های روی دستگاه ایجاد کرده ‎اند. این بدافزار باعث می ‎شود استفاده از هر فایل و سیستمی وابسته به آن نامناسب باشد. جالب این است که مجرمان فضای سایبری در ازای رمزگشایی این باج افزار خواستار مبلغی هستند.
معمولا مهاجمان باج افزاری در صورت عدم پرداخت باج توسط قربانیان خود اطلاعات آنها را فروخته و یا فاش می ‌کنند. همچنین بد نیست بدانید، طی سال‌ های گذشته حملات باج افزارها افزایش بسیاری پیدا کرده است. از تهدیدهایی که مجرمان فضای سایبری به قربانیان این باج افزار ارائه می‌ کنند می ‌توان به تحقیر، تهدید به انتشار اطلاعات و یا فروش اطلاعات حساس کاربران به دیگران اشاره کرد.
مهاجمان با هدف قرار دادن داده‎ های مهم و پخش باج افزار در شبکه اینترنت از باج افزار Dharma استفاده می ‎کنند. همچنین، این افراد از روش ‎هایی مانند حذف پشتیبان گیری سیستم که تعمیر و بازیابی سیستم را دشوار می ‎کند، استفاده می ‎کنند. باید گفت انجام حملات باج افزار هرگز آسان نبوده است. معمولا افرادی که از این باج افزار استفاده می‎ کنند از فناوری ‎های پیشرفته برخوردار نیستند، بلکه آنها کیت‎ های باج افزار را از فضای تاریک و ناامنی خریداری کرده و از آن ‌ها استفاده می ‎کنند. ما در ادامه اطلاعات بیشتری از باج افزار دراما که اولین بار در سال ۲۰۱۶ حملات خود آغاز کرد، ارائه می‎ کنیم.

باج افزار Dharma چیست؟

باج افزار Dharma، که با نام CrySiS هم شناخته می ‎شود، نوعی ویروس خطرناک یا باج افزار تروجان شده است. این باج افزار Windows OP را هدف قرار داده و توسط هکرها و مجرمان فضای سایبری به عنوان تهدیدی با هدف اخاذی از کاربران خانگی و کمپانی‎ ها و شرکت ‎های کوچک و بزرگ مورد استفاده قرار می ‎گیرد.
این نوع از باج افزارها بیشتر فضای داخلی Windows کاربران را هدف قرار می ‎دهند. هر بار که فایلی به عنوان طعمه در فهرست این باج افزار قرار می‎ گیرد، باج افزار فایل را رمزگذاری کرده و پسوند [bitcoin143@india.com] .dharma را به آن اضافه می ‎کند.

به این ترتیب، باج افزار طعمه خود را پیدا می ‎کند. نکته جالبی که درباره این باج افزار وجود دارد پنهان شدن این باج افزار در سیستم بدون حمله به کل رایانه است. و هر بار که این باج افزار به فهرست راهنما اضافه می ‎شود رمزگذاری خود را ادامه می ‎دهد. بنابراین، برای حذف این باج افزار باید پرونده‎های رمزگشایی شده را حذف کرد.
باج افزار Dharma به واسطه ایمیل‎ هایی که ادعا می ‎کنند معتبر هستند در سرتاسر دنیا پخش می ‎شوند. در این ایمیل ‎ها از کاربر خواسته می ‎شود یک پیوست محافظت شده با رمز عبور به نام Defender.exe را بارگیری کند. پس از بارگیری و دانلود فایل توسط کاربر سیستم او به طور کامل درگیر باج افزار می‎ شود. کل این فرآیند در ظرف چند ثانیه انجام می ‎شود.

به چه مقدار زمان برای ریکاوری پس از حمله باج افزار Dharma نیاز است؟

باج افزار Dharma به دلیل ماهیت پیچیده رمزگشایی که دارد، جز یکی از سنگین ‎ترین باج افزارها شناخته می‎ شود. با این حال، در صورتی که این باج افزار شبکه ‎های گروهی کوچکی را هدف قرار دهد سریعتر در مقایسه با شبکه ‎های بزرگتر قابل رمزگشایی و ریکاوری است.

چگونه باج افزار Dharma به قربانانیان خود حمله می‎ کند؟

اغلب حملات باج افزار Dharma را می ‎توان با پروتکل Remote Desktop به عنوان بردار حمله ردیابی کرد. این مسئله به دلیل رواج پورت‎ های RDP محافظت ضعیف شده و سهولت توزیع کنندگان باج افزار رخ می ‎دهد. شرکت‎ هایی که به کارمندان یا پیمانکاران اجازه دسترسی به محافظت شبکه از طریق راه دور را ارائه می ‎کنند، در معرض خطر شدید حمله باج افزار Dharma هستند.

نحوه عملکرد باج افزار Dharma

اگر در سیستم خود یک آرشیو با نام فایل استخراج شده به نام taskhost.exe به همراه نسخه قدیمی ESET AV Remover با نام Defender_nt32_enu.exe مشاهده کردید. به محض اتمام فرآیند بررسی اقدام به نصب ESET AV Remover به صورت خودکار نمایید. به این ترتیب، از سیستم و فایل‎ های خود در مقابل باج افزار دراما محافظت کرده ‎اید.
کلیه فایل‎ های رمزگذاری شده باج افزار دراما حدود سی پسوند همچون java ، .cesar ، .cezar ، .wallet ، .zzzzz ، .dharma ، .arrow ، .write ، .onion ، .arrow ،. bip، .combo؛ .brrr ؛ .گاما ؛ .bkp، .like، .gdb، .xxxxx، .AUF، .USA، .xwx، .best، .heets، .adobe، .btc، .pdf .qwex، .eth، .air، .888، .amber، .frend، .KARLS، .aqva، .aye، .korea، .plomb، .NWA، .azero، .bk66، .stun، .monro، .funny، .vanss، .betta، .waifu، .bgtx، .tron دارد. حتما پسوندها را به خاطر بسپارید تا در صورت مشاهده آن‌ ها سریعا بتوانید اقدام نمایید. برخلاف نسخه قبلی باج افزار Dharma، در نسخه جدید این باج افزار پس زمینه دسکتاپ تغییر پیدا نمی ‎کند. بلکه یک فایل متنی (“README.txt” یا “Document.txt. [amagnus@india.com] .zzzzz”) ایجاد شده و آن را در پوشه‎ای که شامل فایل‎ های آسیب دیده است، قرار می‎ دهند.
زمانی که باج افزار dharma با موفقیت کلیه داده‎ های ارزشمند را در سیستم رمزگذاری می ‎کند، پیامی تحت عنوان دریافت باج برای قربانی ارسال می ‎شود. در این پیام دو آدرس ایمیل که قربانی می‎ تواند از آنها برای تماس با هکرها و مجرمان و پرداخت مبلغ استفاده کند، وجود دارد. بد نیست بدانید، شما می ‎توانید با ارسال ایمیل به منظور دریافت کمک و راهنمایی bitcoin143@india.com با توسعه دهندگان دراما تماس حاصل نمایید.

باج افزار Dharma فایل ‎ها را با استفاده از الگوریتم‎ های نامتقارن رمزگذاری می ‎کند. به این ترتیب، کلیدهای عمومی و خصوصی (رمزگشایی) در طول فرآیند تولید شده و قابل استفاده هستند. کلید خصوصی توسط توسعه دهندگان این باج افزار روی سرور قرار گرفته و از راه دور کنترل می ‎شود. در واقع، رمزگشایی پرونده‎ های آلوده بدون این کلیدها برای قربانیان غیرممکن است. بنابراین از آن‌ ها خواسته می‎ شود تا باج را پرداخته و به کلید دسترسی پیدا کنند. در ضمن، پرونده ‎های رمزگذاری شده توسط باج افزار Dharma به صورت دستی قابل بازیابی نیستند زیرا هیچ ابزاری برای انجام این عمل وجود ندارد.

تنها راه حل برای رمزگشایی فایل‎ های آسیب دیده و یا رهایی قربانیان از این مشکل از طریق پشتیبان گیری از فایل‎ ها و سیستم است. معمولا، هکرها و مجرمان فضای سایبری برای هر کامپیوتر آلوده درخواست یک عدد بیت کوین ارائه می ‎کنند. جالب این است که معمولا سازمان‎ های مالی با مشکلات حاصل از این باج افزارهای بیشتر مواجه هستند. به قربانیان توصیه می‎ شود از پرداخت هرگونه باجی جدا خودداری کنند. زیرا هکرهای این باج افزار معمولا پس از دریافت مبلغ به رمزگشایی نپرداخته و فقط درخواست باج بیشتر می ‎کنند. البته، در مواردی آنها به سیستم نیز آسیب ‎هایی وارد می‎نمایند.

روش‎ های توزیع باج افزار Dharma

باج افزار Dharma همچون پیوستی مخرب در ایمیل ‎های اسپم به صورت زیاد و پراکنده مشاهده می‎شود. استفاده از پیوست‎های مخرب پسوندهای فایل دوگانه از جمله ویژگی‎های خاص این باج افزار است. معمولا، این پسوندها در تنظیمات پیش فرض ویندوز واقعی به نظر نمی ‎رسند. همچنین، باج افزار Dharma قابلیت پنهان سازی در فایل ‎های نصب نرم افزارهای معتبر را هم دارد.
پس دفعه بعدی که نرم افزاری بر سیستم خود نصب می ‎کنید حتما اطلاعات نرم افزار را مطالعه کرده و تا جای ممکن از سایت یا مرکز خرید معتبری آن را تهیه کنید. علت مشکل اصلی وجود داده‎ های پروتکل روی دسکتاپ از راه دور (RDP) هستند. این داده‎ ها به حدی ضعیف هستند که می ‎توان به راحتی و به صورت آنلاین آنها را هک کرد. گاها، این باج افزار توسط هکرها و با استفاده از حملات سایبری شدید بر پورت 3389 نصب می ‎شوند

چگونه از حملات باج افزار Dharma درامان بمانیم؟

بد نیست بدانید جدیدترین نوع باج افزار Dharma (CrySis) ابزارهای رمزگشایی ندارند. به همین علت، حتما پیشگیری ‎های لازم را به منظور محافظت از فایل‎ ها و سیستم‎ ها باید به کار برد. در ادامه شما را با برخی از این نکات پیشگیری آشنا می ‎کنیم:

• همیشه از داده‎ های موجود در سیستم خود پشتیبان تهیه نمایید. از منابع خارجی نظیر هارد دیسک یا فضای ابری برای ذخیره سازی آنها استفاده کنید.
• همیشه نرم افزارهای مورد استفاده خود را به روز رسانی کنید. معمولا، بدافزارها و باج افزارها برنامه ‎ها و نرم افزارهای قدیمی را هدف قرار می ‎دهند.
• از پسوردهای قوی برای محافظت از حساب‎ های کاربری شخصی و تجاری استفاده کنید.
• هرگز ایمیل ‎های اسپم خود را باز نکنید. در صورتی که در ایمیل‎ های اسپم و ناشناستان فایل‎ های ضمیمه و لینکی قرار دارد آنها را کپی یا دانلود نکنید. شما با این کار می‎ توانید سیستم خود را آلوده کنید.