در روزای گذشته گزارش های زیادی در مورد مشاهده آلودگی به جدیدترین نسخه از باج افزار crysis در بعضی مؤسسات کشور واصل شده.

در این نسخه ، پسوند فایل های رمزگذاری شده به arrow. تغییر داده می شه.

این چندمین باره که کاربران و مؤسسات ایرونی بطور زیادی هدف باج افزار crysis قرار می گیرن.

باج افزار crysis – که با نام های Dharma و Wallet هم شناخته می شه.

پس از نصب شدن، دیسک سخت و پوشه های اشتراکی رو – که نام کاربری مورد استفاده باج افزار به اونا دسترسی نوشتن داره – واسه پیدا کردن فایل های پسوندهای خاص پویش کرده و بعد اونا رو رمزگذاری می کنه.

باید در نظر داشت که حتی در صورت وجود ضدویروس روی دستگاه با پوشه های اشتراکی، بازم باج افزار از راه دیگه دستگاه های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل های موجود در پوشه میشه.

پس محدودسازی سطح دسترسی به پوشه های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به روز و قوی از اهمیت زیادی بهره مند می باشه.

در نسخه گذشته، نام و پسوند فایل های رمزگذاری شده براساس الگوی زیر تغییر داده می شه:

• [file name and extension].id-52219EAC.[hswitt@aol.com].arrow

متأسفانه در زمان منتشر کردن این خبر، امکان رمزگشایی فایل های رمزگذاری شده بدون در اختیار داشتن کلید جفت و جور نیس.

باج افزار crysis از جمله بدافزارهاییه که صاحبان اون با نفوذ به سیستم ها از راه پودمان RDP مبادرت به آلوده سازی اونا می کنن.

پودمان RDP قابلیتی در سیستم عامل Windowsه که امکان اتصال از راه دور کاربران تعیین شده رو به دستگاه جفت و جور می کنه.

علاوه بر مدیران شبکه که از این پودمان واسه اتصال به سرورها و ایستگاه های کاری سازمان استفاده می کنن، در خیلی از سازمان های کوچیک و متوسط هم از RDP واسه برقرار کردن رابطه از راه دور پیمانکاران بخش IT، به سرورهایی مثل حقوق و دستمزد، اتوماسیون اداری و چیزای دیگه ای به جز اینا استفاده می شه.

تبهکاران سایبری از ابزارهایی مثل Shodan واسه شناسایی سرورهای با درگاه RDP باز روی اینترنت استفاده کرده و در ادامه با استفاده ابزارهایی مثل NLBrute مبادرت به اجرای حملات موسوم به Brute Force می کنن.

هدف از اجرای حملات Brute Force رخنه به دستگاه از راه پودمانی خاص – اینجا RDP – با استفاده ترکیبی از نام های کاربری و رمزهای عبور رایجه. پس اگر دسترسی به پودمان RDP از راه کاربری با رمز عبور ساده و غیرپیچیده باز شده باشه حمله کنندگان هم خیلی راحت امکان اتصال به دستگاه رو دارن.

در صورت برقرار شدن اتصال، حمله کنندگان نرم افزاری رو روی سرور اجرا کرده و از اون واسه دست درازی به تنظیمات و سرویس های نرم افزارهای ضدبدافزار، پشتیبان گیری و پایگاه داده نصب شده روی اون استفاده می کنن.

در ادامه هم فایل داغون کننده باج افزار رو دریافت کرده و روی سرور به اجرا در می بیارن.

رعایت موارد زیر واسه جلوگیری و پیشگیری از اجرای موفقیت آمیز اینجور حملاتی پیشنهاد می شه:

• استفاده ضدویروس به روز و قوی
• به کار گیری دیواره آتیش
• به کار گیری رمزهای عبور پیچیده
• اطمینان از نصب بودن همه اصلاحیه های امنیتی
• غیرفعال کردن پودمان RDP در صورت نبود نیاز به اون
• به کار گیری پودمان VPN یا Virtual Private Network واسه اتصال از راه دور کارکنان و پیمانکاران سازمان
• بهره گیری از اصالت سنجی دو مرحله ای (۲FA)، در صورت امکان
• فعال کردن Account Lockout Policy در تنظیمات Group Policy

منبع : shabakeh.net