کارشناسان کسپرسکی حمله یک تروجان جدید را کشف کرده اند که آن را CryWiper نامیده اند. در نگاه اول، این بدافزار شبیه باج‌افزار به نظر می‌رسد: فایل‌ها را اصلاح می‌کند، یک پسوند .CRY به آن‌ها اضافه می‌کند و یک فایل README.txt را با یک یادداشت باج‌گیری ذخیره می‌کند که حاوی آدرس کیف‌پول بیت‌کوین، آدرس ایمیل برای تماس با سازندگان بدافزار و آی‌دی آلودگی. با این حال در حقیقت این بدافزار یک وایپر است، فایل دستکاری‌شده‌ توسط CryWiper نمی‌تواند به وضعیت قبلی خود تحت هیچ شرایطی بازگردد .بنابراین اگر یک یادداشت باج می‌بینید و فایل‌هایتان پسوند CRY جدید دارند، برای پرداخت باج عجله نکنید: این یک کار بسیار بیهوده است!

در گذشته، ما شاهد برخی از گونه‌های بدافزار بوده‌ایم که به‌طور تصادفی به وایپرها (پاک‌کن‌ها) تبدیل شدند - به دلیل اشتباهات سازندگان آنها که الگوریتم‌های رمزگذاری را به درستی پیاده‌سازی نکردند. با این حال، این بار اینطور نیست، کارشناسان Kasperskyاطمینان دارند که هدف اصلی مهاجمان سود مالی نیست، بلکه از بین بردن داده ها است. فایل ها واقعا رمزگذاری نشده اند. در عوض، تروجان آنها را با داده های تولید شده به صورت شبه تصادفی بازنویسی می کند.

چیزی که CryWiper به دنبال آن است

این تروجان هر داده ای را که برای عملکرد سیستم عامل حیاتی نیست خراب می کند. فایل‌هایی که پسوند  .exe, .dll, .lnk, .sys یا .msi دارند تحت‌الشعاع قرار نمی‌گیرند؛ همچنین برخی فولدرهای سیستمی در دایرکتوری  C:\Windows نیز نادیده گرفته می‌شود.این بدافزار بر روی پایگاه های داده، آرشیوها و اسناد کاربر تمرکز دارد.تاکنون، کارشناسان آنتی ویروس کسپرسکی فقط حملات دقیق به اهدافی در فدراسیون روسیه را دیده‌اند. با این حال، طبق معمول، هیچ کس نمی تواند تضمین کند که همان کد علیه سایر اهداف استفاده نخواهد شد.

تروجان CryWiper چگونه کار می کند

CryWiper علاوه بر بازنویسی مستقیم محتواهای فایل با یک سری محتوای بی‌معنی همچنین کارهای زیر را نیز انجام می‌دهد:

·        تسکی را ایجاد می‌کند که هر پنج دقیقه یکبار با استفاده از Task Scheduler وایپر را ریستارت می‌کند.

·        نام رایانه آلوده را به سرور C&C می فرستد و منتظر دستوری برای شروع حمله می شود.

·        فرآیندهای مربوط به سرورهای پایگاه داده MySQL و MS SQL، سرورهای پست الکترونیکی MS Exchange و خدمات وب MS Active Directory را متوقف می کند (در غیر این صورت دسترسی به برخی از فایل ها مسدود می شود و خراب کردن آنها غیرممکن خواهد بود).

·        کپی فایل ها را حذف می کند تا قابل بازیابی نباشند (اما به دلایلی فقط در درایو Cاین اتفاق می افتد).

·        اتصال به سیستم آسیب دیده را از طریق پروتکل RDP راغیرفعال می کند.

هدف از انجام مورد آخر کاملاً روشن نیست. شاید با چنین غیرفعال کردنی، نویسندگان بدافزار سعی کرده‌اند کار تیم IT را پیچیده کنند، تیمی که به وضوح ترجیح می‌دهد به دستگاه آسیب‌دیده دسترسی از راه دور داشته باشد T در عوض  مجبور می شود به آن سیستم آلوده دسترسی فیزیکی داشته باشند. شما می توانید جزئیات فنی حمله به همراه شاخص های سازش را در پستی در Securelist  که البته فقط به زبان روسی است را بیابید.

چگونه ایمن بمانیم

برای محافظت از رایانه های مجموعه شما در برابر باج افزارها و پاک کن ها، کارشناسان کسپرسکی اقدامات زیر را توصیه می کنند:

·        اتصالات دسترسی از راه دور (RDP)به زیرساخت خود را به دقت کنترل کنید: اتصالات از شبکه های عمومی را ممنوع کنید، دسترسی RDP را فقط از طریق یک تونل VPN مجاز کنید، و از رمزهای عبور قوی منحصر به فرد و احراز هویت دو مرحله ای استفاده کنید.

·        مرتباً نرم‌افزارهای حیاتی را آپدیت کنید، به سیستم عامل، راهکارهای امنیتی، کلاینت‌ها وی‌پی‌ان و ابزارهای دسترسی ریموت توجه ویژه داشته باشید

·        با استفاده از ابزارهای آنلاین تخصصی، آگاهی  کارکنان خود را  در حوزه امنیت شبکه افزایش دهید.

·        از راه حل های امنیتی پیشرفته برای محافظت از دستگاه های کاری و محیط شبکه شرکت یا مجموعه و سازمان خود استفاده کنید.

شرکت شبکه رسام دوراندیش برای کمک به محافظت از دستگاه های سازمان و مجموعه شما ، در هر کجا و هر ابعادی که هستید انواع آنتی ویروس های تحت شبکه و سازمانی کسپرسکی را با هر قابلیتی که بخواهید را در دسترس شما عزیزان قرار می دهد .مجموعه مهندسی شبکه رسام دوراندیش نماینده رسمی فروش آنتی ویروس Kaspersky با قابلیت ارائه پشتیبانی رایگان و 24 ساعته می باشد .