کارشناسان کسپرسکی حمله یک تروجان جدید را کشف کرده اند که آن را CryWiper نامیده اند. در نگاه اول، این بدافزار شبیه باجافزار به نظر میرسد: فایلها را اصلاح میکند، یک پسوند .CRY به آنها اضافه میکند و یک فایل README.txt را با یک یادداشت باجگیری ذخیره میکند که حاوی آدرس کیفپول بیتکوین، آدرس ایمیل برای تماس با سازندگان بدافزار و آیدی آلودگی. با این حال در حقیقت این بدافزار یک وایپر است، فایل دستکاریشده توسط CryWiper نمیتواند به وضعیت قبلی خود تحت هیچ شرایطی بازگردد .بنابراین اگر یک یادداشت باج میبینید و فایلهایتان پسوند CRY جدید دارند، برای پرداخت باج عجله نکنید: این یک کار بسیار بیهوده است!
در گذشته، ما شاهد برخی از گونههای بدافزار بودهایم که بهطور تصادفی به وایپرها (پاککنها) تبدیل شدند - به دلیل اشتباهات سازندگان آنها که الگوریتمهای رمزگذاری را به درستی پیادهسازی نکردند. با این حال، این بار اینطور نیست، کارشناسان Kasperskyاطمینان دارند که هدف اصلی مهاجمان سود مالی نیست، بلکه از بین بردن داده ها است. فایل ها واقعا رمزگذاری نشده اند. در عوض، تروجان آنها را با داده های تولید شده به صورت شبه تصادفی بازنویسی می کند.
چیزی که CryWiper به دنبال آن است
این تروجان هر داده ای را که برای عملکرد سیستم عامل حیاتی نیست خراب می کند. فایلهایی که پسوند .exe, .dll, .lnk, .sys یا .msi دارند تحتالشعاع قرار نمیگیرند؛ همچنین برخی فولدرهای سیستمی در دایرکتوری C:\Windows نیز نادیده گرفته میشود.این بدافزار بر روی پایگاه های داده، آرشیوها و اسناد کاربر تمرکز دارد.تاکنون، کارشناسان آنتی ویروس کسپرسکی فقط حملات دقیق به اهدافی در فدراسیون روسیه را دیدهاند. با این حال، طبق معمول، هیچ کس نمی تواند تضمین کند که همان کد علیه سایر اهداف استفاده نخواهد شد.
تروجان CryWiper چگونه کار می کند
CryWiper علاوه بر بازنویسی مستقیم محتواهای فایل با یک سری محتوای بیمعنی همچنین کارهای زیر را نیز انجام میدهد:
· تسکی را ایجاد میکند که هر پنج دقیقه یکبار با استفاده از Task Scheduler وایپر را ریستارت میکند.
· نام رایانه آلوده را به سرور C&C می فرستد و منتظر دستوری برای شروع حمله می شود.
· فرآیندهای مربوط به سرورهای پایگاه داده MySQL و MS SQL، سرورهای پست الکترونیکی MS Exchange و خدمات وب MS Active Directory را متوقف می کند (در غیر این صورت دسترسی به برخی از فایل ها مسدود می شود و خراب کردن آنها غیرممکن خواهد بود).
· کپی فایل ها را حذف می کند تا قابل بازیابی نباشند (اما به دلایلی فقط در درایو Cاین اتفاق می افتد).
· اتصال به سیستم آسیب دیده را از طریق پروتکل RDP راغیرفعال می کند.
هدف از انجام مورد آخر کاملاً روشن نیست. شاید با چنین غیرفعال کردنی، نویسندگان بدافزار سعی کردهاند کار تیم IT را پیچیده کنند، تیمی که به وضوح ترجیح میدهد به دستگاه آسیبدیده دسترسی از راه دور داشته باشد T در عوض مجبور می شود به آن سیستم آلوده دسترسی فیزیکی داشته باشند. شما می توانید جزئیات فنی حمله به همراه شاخص های سازش را در پستی در Securelist که البته فقط به زبان روسی است را بیابید.
چگونه ایمن بمانیم
برای محافظت از رایانه های مجموعه شما در برابر باج افزارها و پاک کن ها، کارشناسان کسپرسکی اقدامات زیر را توصیه می کنند:
· اتصالات دسترسی از راه دور (RDP)به زیرساخت خود را به دقت کنترل کنید: اتصالات از شبکه های عمومی را ممنوع کنید، دسترسی RDP را فقط از طریق یک تونل VPN مجاز کنید، و از رمزهای عبور قوی منحصر به فرد و احراز هویت دو مرحله ای استفاده کنید.
· مرتباً نرمافزارهای حیاتی را آپدیت کنید، به سیستم عامل، راهکارهای امنیتی، کلاینتها ویپیان و ابزارهای دسترسی ریموت توجه ویژه داشته باشید
· با استفاده از ابزارهای آنلاین تخصصی، آگاهی کارکنان خود را در حوزه امنیت شبکه افزایش دهید.
· از راه حل های امنیتی پیشرفته برای محافظت از دستگاه های کاری و محیط شبکه شرکت یا مجموعه و سازمان خود استفاده کنید.
شرکت شبکه رسام دوراندیش برای کمک به محافظت از دستگاه های سازمان و مجموعه شما ، در هر کجا و هر ابعادی که هستید انواع آنتی ویروس های تحت شبکه و سازمانی کسپرسکی را با هر قابلیتی که بخواهید را در دسترس شما عزیزان قرار می دهد .مجموعه مهندسی شبکه رسام دوراندیش نماینده رسمی فروش آنتی ویروس Kaspersky با قابلیت ارائه پشتیبانی رایگان و 24 ساعته می باشد .