هشدار : فعالیت گسترده باج افزار Locky این بار با پسوند .Odin :

متخصصین ویروس شناسی شرکت کامیران تغییرات جدیدی در گونه های این ماه باج افزار locky شناسائی کردند که از مهمترین آنها می توان به استفاده از فایل های js و wfs برای آلوده کردن قربانیان و قرار دادن پسوند odin برای فایل های کد شده اشاره کرد. برای اطلاعات بیشتر در مورد این خبر بر روی ادامه خبر کلیک نمائید.

باج افزار Locky برای اولین بار در دیماه سال گذشته در سطح اینترنت گسترش یافته است ولی گزارش‌های جدید حاکی از آن است که این باج افزار به سرعت در حال گسترش و آلوده کردن کاربران است.این باج افزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ 2.4 میلیون یورو باج بگیرد.

این باج افزار ابتدا فایل ها را بررسی کرده و پس از رمزکردن فایل ها، پسوند .locky را به آن ها اضافه می کند. این در حالی است که طبق آخرین بررسی های لابراتوآر ویروس شناسی شرکت کامیران گونه های جدید این باج افزار پس از کد گذاری فایل ها پسوند odin را بر روی فایل های کدشده قرار میدهد. کلید رمزگشایی فقط در اختیار تولیدکنندگان باج افزار قرار دارد و برای به‌دست آوردن آن باید مبلغی معادل 0.5 بیت کوین تا حدود 1 بیت کوین پرداخت شود. در نسخه های جدید این باج افزار باجی معادل 3 بیت کوین معادل 6 میلیون تومان هم دیده شده است !

معمول ترین روشی که باج افزار Locky برای ورود به سیستم قربانی از آن استفاده می کند، به ترتیب زیر است:

باج افزار یک ایمیل که حاوی یک فایل ضمیمه می باشد، برای فرد قربانی ارسال می کند. فرد قربانی پس از باز کردن فایل ضمیمه که یک فایل word است، با عباراتی نامفهوم روبرو می شود.
باج افزار در ابتدای این فایل به قربانی پیشنهاد می دهد که اگر با عباراتی نادرست روبرو شده است، تنظیمات مربوط به macro را فعال کند.

اگر کاربر تنظیمات مربوط به macro را فعال کند، عبارات موجود در سند تصحیح نمی شوند و با این کار کد موجود در سند اجرا می شود که یک فایل را درون سیستم ذخیره و اجرا می کند. فایل ذخیره شده به عنوان یک downloader عمل می کند و payload نهایی بدافزار را از سرورهای مورد نظر دریافت می کند. این payload می تواند هرچیزی باشد ولی در این مورد معمولاً باج افزار Locky است.

طریقه انتشار گونه های جدید باج افزار locky :

طی بررسی های هفته گذشته کارشناسان ویروس شناسی شرکت کامیران گونه های جدید این باج افزار علاوه بر روش قدیمی ، از طریق فایل های ضمیمه ایمیل به صورت zip حاوی فایل هایی با پسوند js و wsf در حال انتشار هستند. فایل های js فایل های کد نویسی شده جاوا هستند و wsf هم مخفف Windows Script File است و فایل های حاوی برنامه نویسی ترکیبی جاوا و ویژوال بیسیک یا سایر زبان های برنامه نویسی است. اجرای این ضمیمه توسط کاربر موجب دانلود شدن فایل dll با حجم حدود 200 کیلوبایت از سرور های این باج افزار خواهد شد. سپس این dll با استفاده از برنامه rundll32.exe ویندوز در حافظه اجرا شده و اقدام به کدکردن فایل های کاربر میکند.

فایل های wsf یا js یا ... در این نوع باج افزار وظیفه دانلود کردن و اجرای هسته اصلی جدیدترین نسخه باج افزار را دارند.

باج افزار Locky فایل های سیستم را با لیستی از پسوندها بررسی می کند. این لیست شامل پسوندهای مربوط به فایل های ویدئو، تصاویر، کدهای برنامه نویسی به زبان های مختلف و فایل های آفیس است. باج افزار Locky حتی فایل wallet.dat که مربوط به حساب کاربری بیت کوین است را در صورت وجود، بررسی می‌کند.

همچنین این باج افزار زیرک با اجرای فرمان vssadmin.exe Delete Shadows /All /Quiet کلیه بکاپ های گرفته شده توسط سامانه System Restore را نیز حذف میکند تا کاربر نتواند با استفاده از سرویس Windows Shadows فایل های خود را به کمک Restore point های ساخته شده بازیابی نماید.


عملکرد آنتی ویروس های اورجینال ESET و Kaspersky در مقابل باج افزار locky :

لابراتوآر های ویروس شناسی ESET و Kaspersky هر روز تعداد زیادی از گونه های باج افزار ها و دانلود کننده های آنها را شناسائی کرده و در آپدیت های منظم خود ارائه میکند. لیست بدافزار های شناسائی شده در هر آپدیت ESET را میتوانید از بخش ویروس رادار در گوشه پایین سمت راست سایت مشاهده نمائید. محصولات امنیتی اورجینال کمپانی ESET و Kaspersky در روز به صورت متوسط 3-5 بار آپدیت میشوند که در هر آپدیت در حدود 70 الی 100 گونه بد افزار شناسایی میشود.

برای اطلاعات بیشتر نظر شما را به لیست ویروس های شناسائی شده در هر آپدیت ESET و همچنین وضعیت لحظه ای شناسائی ویروس های در Kaspersky در لینک های زیر جلب میکنیم :

لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky

 

در مجموع با تلاش متخصصین ویروس شناسی ، امنیتی در حدود 99% برای کاربران ما مهیا شده است و 1% باقی مانده هم مستلزم رعایت نکات امنیتی زیر توسط کاربران میباشد.



طریقه تشخیص دقیق نوع باج افزار سیستم شما :

با استفاده از فرم زیر نمونه فایل های کد شده و اطلاعات مربوطه را برای لابراتوآر شرکت کامیران ارسال کنید تا ضمن تشخیص نوع باج افزار ، درصورت کشف الگوریتم و شاه کلید آن ، لابراتوآر ویروس شناسی کامیران ، شما را از طریق ایمیل و پیامک مطلع سازد :

فرم ارسال نمونه باج افزار برای لابراتوآر کامیران

پس از ارسال نمونه حتما این مطلب زیر را در مورد فرم فوق مطالعه نمائید :

کدام باج افزار فایل های شما را کد کرده است ؟

 

تذکرات امنیتی :

در خصوص این باج افزار توجه به نکات امنیتی زیر ضروری میباشد :

• به طور متناوب از اطلاعات نسخه پشتیبان تهیه شود و این نسخه در یک مکان مجزا از سیستم ذخیره شود.

• تنظیمات مربوط به macro در فایل های ضمیمه ای که از ایمیل های ناشناس دریافت می گردند، نباید فعال گردد.

• در مورد فایل های ضمیمه ناخواسته باید بیشتر احتیاط کرد.

• هنگام ورود به سیستم نبایستی با سطح دسترسی مدیر و یا سطح دسترسی بیشتر از آنچه که مورد نیاز است، وارد شد.

• از نرم افزارهای Microsoft Office viewers برای دیدن فایل های مربوط به آفیس استفاده شود. این نرم افزارها به کاربر اجازه می دهد تا بدون بازکردن فایل های آفیس در برنامه های word و یا دیگر برنامه های آفیس، بتوان محتوای آن ها را مشاهده کرد. ضمن اینکه این نرم افزارها از ویژگی macro پشتیبانی نمی کنند.

• یکی دیگر از راه های ورود بدافزارها به سیستم، سوء استفاده آن ها از آسیب پذیری های موجود درون نرم افزارهاست. توصیه می شود به طور متناوب نرم افزارهای موجود بر روی سیستم به روز رسانی شوند و وصله های امنیتی ارائه شده برای آن ها در اسرع وقت اعمال شود.

روش‌های مقابله

این بدافزارها دارای مکانیزم‌های پیچیده‌ای هستند و بهترین راه‌کار برای مقابله با آن‌ها، پیشگیری و مسدود نمودن راه‌های نفوذ‌ آن‌ها به سیستم است. به همین منظور توصیه می‌گردد که:


* حتماً از یک آنتی‌ویروس اورجینال که به‌طور مرتب به‌روزرسانی می‌شود استفاده کنید. وجود یک آنتی ویروس اورجینال و آپدیت شده ، امنیتی در حدود 99% را برای شما تامین میکند و شما می توانید با رعایت کردن موراد زیر امنیت خود را به مرز 99.9 % برسانید. پیشنهاد ما در این مورد استفاده از آنتی ویروس های اورجینال ESET یا Kaspersky با لایسنس اصلی میباشد.
* از ابزار ضد باج افزار رایگان شرکت کامیران استفاده نمائید. این ابزار به تنهایی امکان نفوذ بسیاری از باج افزار ها را مسدود مینماید. لینک دانلود
* از بازکردن فایل های الصاق شده در ایمیل های مشکوک ( حتی فایل های Word ) خودداری نموده و در صورت مشاهده ایمیل های مشکوک حتما آنها را جهت بررسی بیشتر به همراه اطلاعات لایسنس اورجینال خود به آدرسفوروارد نمائید.
* به‌طور منظم یک نسخه پشتیبان از تمامی داده‌های حساس خود تهیه کنید.
* در صورت امکان در نرم افزار ایمیل خود فایل های ضمیمه دارای پسوند های VBS,JS,JSE,WSH,WSF,HTA را مسدود نمائید تا این ایمیل ها به دست کاربران شما نرسد.
* دقت کنید که فایروال سیستم‌عامل شما حتماً فعال بوده و به درستی پیکربندی شده باشد.
* تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینک‌ها و یا پیوست نامه‌های الکترونیکی کلیک کنید.
* از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.
* از بازدید وب‌سایت‌های پرخطر خودداری نموده و پیش از بازدید از وب‌سایت‌های ناشناس، از آلوده نبودن آن‌ها اطمینان حاصل نمایید.
* به‌طور مرتب، نرم‌افزارهای مورد استفاده خود را به‌روزرسانی کنید.



برای دریافت اخبار امنیتی لابراتوآر ویروس شناسی شرکت کامیران ، در کانال تلگرام ما با آی دی زیر عضو شوید :

کانال اخبار امنیتی کامیران:
KAMIRANChannel@

لابراتوآر ویروس شناسی
شرکت مهندسی کامیران
نمایندگی رسمی آنتی ویروس های ESET و Kaspersky در ایران
__________________________________________

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect

 آسیب پذیری خطرناک در فایروالهای Fortigate

 هک فایروال Sophos در ده ثانیه

 اطلاعیه افتا برای حمله سایبری مهر99

 ESET حملات Zerologon را مسدود میکند

 انتشار شاه کلید رمزگشائی باج افزار TeslaCrypt