هشدار امنیتی باج افزار Crysis
تاریخ : شنبه، 17 مهر ماه ، 1395 موضوع : اخبار باج افزاری
هشدار امنیتی در مورد باج افزار Crysis :
لابراتوآر ویروس شناسی شرکت کامیران این هفته نشانه های جدیدی از حملات سازندگان باج افزار Crysis را بررسی و آنالیز کرده است. این باج افزار فایل ها را کد کرده و پسوند آنها را به XTBL تغییر میدهد. برای دریافت راهکار های امنیتی مقابله با این باج افزار بر روی ادامه خبر کلیک نمائید.
جدید !!! ابزار رمز گشائی باج افزار Crysis ساخته شده است : رمز گشایی Crysis
این هفته نشانه های فعالیت باج افزار Crysis مجددا توسط متخصصین ویروس شناسی کامیران مشاهده شده است. این باج افزار با استفاده از حفره های امنیتی و اشتباهات کاربران و مدیران شبکه به سیستم نفوذ کرده و اقدام به کد کردن فایل های کاربر میکند.
از جمله ترفند های نفوذ این باج افزار میتوان به : ضمیمه های آلوده ایمیل ، لینک های مخرب در سایت ها و نفوذ از طریق پورت RDP مربوط به ریموت دسکتاپ با استفاده از اختلالات امنیتی ویندوز اشاره کرد.
این باج افزار فایل های کد شده را با فرمولی همانند
extension.<id-number>.<email>.xtbl
تغییر نام میدهد . برای مثال فایل TEST.doc را پس از کد شدن به
TEST.doc.id-6E64B1DB.legioner_seven@aol.com.xtbl
تغییر میدهد.
کلیه گونه های منتشر شده از این باج افزار تا کنون توسط ESET و Kaspersky شناسائی شده است اما با توجه به اینکه این باج افزار ها اغلب از حمله روز صفر استفاده میکنند باید نکات امنیتی را همراه رعایت کرد.
نمونه فایل های کد شده را برای لابراتوآر کامیران ارسال کنید:
با استفاده از فرم زیر نمونه فایل های کد شده و اطلاعات مربوطه را برای لابراتوآر شرکت کامیران ارسال کنید تا درصورت کشف الگوریتم و شاه کلید این باج افزار ، شرکت شما را از طریق ایمیل و پیامک مطلع سازد :
پس از ارسال نمونه حتما این مطلب زیر را در مورد فرم فوق مطالعه نمائید :
نکات امنیتی عمومی برای جلوگیری از نفوذ این باج افزار چیست ؟
* حتماً از یک آنتیویروس اورجینال که بهطور مرتب بهروزرسانی میشود استفاده کنید. وجود یک آنتی ویروس اورجینال و آپدیت شده ، امنیتی در حدود 99% را برای شما تامین میکند و شما می توانید با رعایت کردن موراد زیر امنیت خود را به مرز 99.9 % برسانید. پیشنهاد ما در این مورد استفاده از آنتی ویروس های اورجینال ESET یا Kaspersky با لایسنس اصلی میباشد.
* از ابزار ضد باج افزار رایگان شرکت کامیران استفاده نمائید. این ابزار به تنهایی امکان نفوذ بسیاری از باج افزار ها را مسدود مینماید. لینک دانلود
* از بازکردن فایل های الصاق شده در ایمیل های مشکوک ( حتی فایل های Word ) خودداری نموده و در صورت مشاهده ایمیل های مشکوک حتما آنها را جهت بررسی بیشتر به همراه اطلاعات لایسنس اورجینال خود به آدرسفوروارد نمائید.
* بهطور منظم یک نسخه پشتیبان از تمامی دادههای حساس خود تهیه کنید.
* در صورت امکان در نرم افزار ایمیل خود فایل های ضمیمه دارای پسوند های VBS,JS,JSE,WSH,WSF,HTA را مسدود نمائید تا این ایمیل ها به دست کاربران شما نرسد.
* دقت کنید که فایروال سیستمعامل شما حتماً فعال بوده و به درستی پیکربندی شده باشد.
* تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینکها و یا پیوست نامههای الکترونیکی کلیک کنید.
* از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.
* از بازدید وبسایتهای پرخطر خودداری نموده و پیش از بازدید از وبسایتهای ناشناس، از آلوده نبودن آنها اطمینان حاصل نمایید.
* بهطور مرتب، نرمافزارهای مورد استفاده خود را بهروزرسانی کنید.
* از ویندوز های اورجینال استفاده کنید و یا پچ های امنیتی Microsoft را به طور منظم بر روی سیستم های خود نصب کنید.
نکات امنیتی تخصصی برای جلوگیری از نفوذ این باج افزار چیست ؟
علاوه بر نکات امنیتی عمومی فوق ، رعایت موارد زیر نیز از طرف مدیران شبکه ها الزامی میباشد:
* با توجه به ساختار و عملکرد این باج افزار مشاهده شده است که پورت RDP - Remote Desktop نیز یکی از حفره های نفوذ این باج افزار است. لذا مدیران شبکه موظف هستند پورت RDP را در سیستم هایی که نیازی به ریموت دسکتاپ نیست غیر فعال کنند. در سیستم هایی که RDP مورد استفاده قرار میگرد باید پورت آن را از 3389 به پورت دیگر غیر قابل حدس زدنی ترجیحا 5 رقمی تغییر دهید.
برای تغییر پورت RDP از مسیر زیر در رجیستری متغییر Port Number را تغییر دهید و سیستم را ریست کنید. از این پس با وارد کردن IP:Port در ریموت دسکتاپ میتوانید به سیستم خود متصل شوید.
HKEY_LOCAL_MACHINE---System---CurrentConrolSet---Control---TerminalServer---WinStations---RDP-Tcp
* همچنین استفاده از رمز های قوی شامل حروف کوچک و بزرگ و اعداد و کاراکترهای خاص برای اکانت های Admin و اکانت های ریموت دسکتاپ الزامی است.
* نصب آخرین پچ های امنیتی مایکروسافت برای ویندوز و استفاده از دیوار آتش ویندوز به صورت کانفیگ شده و فاقد قوانین عمومی و باز نیز برای مقابله با نفوذ این گونه باج افزار ها الزامی میباشد.
* سیستم هایی که از بانک اطلاعاتی SQL استفاده میکنند از پورت 1433 و 1434 برای سرویس دهی استفاده میکنند. در صورت باز کردن این پورت ها در فایروال ویندوز باید دقت شود رنج IP امن حتما در فایروال تعریف شود تا تنها سیستم های مشخصی به این پورت ها دسترسی داشته باشند. در صورت امکان بهتر است از شرکت پشتیبانی بانک اطلاعاتی SQL شما گورت های پیش فرض 1433 و 1434 را به شمار ههای غیر قابل حدسی تغییر دهد.
مدیران شبکه مشترکین شرکت کامیران می توانند برای مشاوره امنیتی بیشتر در موارد فوق با واحد پشتیبانی یا لابراتوآر ویروس شناسی شرکت تماس بگیرند.
برای دریافت اخبار امنیتی لابراتوآر ویروس شناسی شرکت کامیران ، در کانال تلگرام ما با آی دی زیر عضو شوید :
کانال اخبار امنیتی کامیران:
KAMIRANChannel@
لابراتوآر ویروس شناسی
شرکت مهندسی کامیران
نمایندگی رسمی آنتی ویروس های ESET و Kaspersky در ایران
__________________________________________
باج افزار Crysis باج گیر XTBL ، legioner_seven@aol.com ، vegclass@aol.com ، پسوند XTBL ، کد شدن فایل ها ، تبدیل فایل ها به XTBL
|