محققین امنیتی شرکت کامیران در بررسی باج افزار های خانواده Crysis که به Dharma نیز معروف هستند دریافتند که هکر های این باج افزار پس از شناسائی آی پی های سرور های اصلی اقدام به اسکن پورت های باز برای یافتن پورتی قابل نفوذ میکنند.

نظریه کارشناسان امنیتی کامیران اینست که هکرها با دیدن پورت های باز مثل 80 ، 443 ، 53 و ... که مربوط به سرویس های عمومی یک سرور میباشند، آی پی آن را به عنوان یک سرور قابل نفوذ و ارزشمند شناسائی کرده و سپس در مرحله بعدی عملیات پورت اسکن کامل آن را انجام میدهد.

عملیات اسکن پورت ها تا زمان کشف یک پورت قابل نفوذ ادامه میابد. هکر ها به دنبال پورت های بستر Remote Desktop ، SQL یا مواردی از این قبیل هستند.

در تست های آسیب پذیری انجام شده تا این تاریخ در مرکز ویروس شناسی کامیران ، آمارها نشان میدهد که هکرهای خانواده Dharma به دنبال یافتن پورت 3389 یا پورت جایگزین آن در سرور ها هستند.

این باج افزار قادر است حتی پورت های تغییر یافته RDP را نیز شناسائی کرده و حملات Brute-Force خود را بر روی پورت های نا متعارف هم انجام دهد. این بدین معنی است که صرفا تغییر پورت RDP به معنی ایمن سازی نیست و پورت تغییر یافته در صورت عدم ایمن سازی به وسیله فایروال و یا RDP Gateway قابل نفوذ میباشد.

لذا ایمن سازی RDP در سطح 1 و 2 و حتی سطح 3 الزاما توصیه میشود :

http://www.kamiran.asia/videos/search.php?keywords=%D8%A7%DB%8C%D9%85%D9%86+RDP&video-id=

همچنین لازمست مدیران شبکه گرامی تست های آسیب پذیری ، پورت اسکن کامل و ... را بر روی شبکه و سرور های خود انجام دهند تا از ایمن بودن کلیه پورت ها و سرویس ها اطمینان کافی داشته باشند. برای اطلاعات بیشتر در مورد تست آسیب پذیری از لینک زیر استفاده کنید :

آیا فایل های کد شده Cezar یا Arena در حال حاضر قابل رمزگشایی هستند ؟

در حال حاضر متاسفانه پسوند های Cezar و Arena از این خانواده باج افزاری قابل رمزگشائی نیستند . اما با توجه به اینکه تا کنون پسوند های .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion از گونه Crysis قابل رمز گشائی هستند، این احتمال وجود دارد که گونه های جدید نیز به زودی قابل رمزگشایی باشند. برای اطلاع از رمز گشایی این گونه ها در سرویس رایگان تشخیص نوع باج افزار از لینک زیر عضو شده و نمونه چند فایل کد شده را ارسال نمائید تا در صورت کشف کلید های رمزنگاری ، اخیار مربوطه از طریق پیامک و ایمیل به شما اطلاع داده شود :

چرا سیستم های دارای آنتی ویروس هم بعضا به این نوع باج افزار دچار میشوند ؟

علی رغم اینکه بسیاری از فروشندگان آنتی ویروس ها با آلوده شدن کاربران به باج افزارها، بازی تبلیغاتی خود را برای تخریب برند قبلی شروع میکنند، اما حقیقت اینجاست که یک آنتی ویروس کاملا قدرتمند هم نمیتواند جلوی برخی حملات همانند BruteForce را بگیرد. زیرا این وظیفه فایروال سخت افزاری یا فایروال ویندوز سرور است که معمولا در مورد قربانیان باج افزاری به درستی پیکربندی نشده یا اکثرا خاموش هستند ! همانطور که از توضیحات بالا متوجه شدید این نوع باج افزارها با ارسال یک فایل یا ایمیل قربانی نمیگیرند بلکه شگرد آنها هک کردن اکانت مدیر سیستم است. اگر هکر یا نفوذگر بتواند حساب کاربری مدیر سیستم را هک کرده و وارد سیستم شود غیر فعال کردن یا حذف هرنوع آنتی ویروس اولین حرکت او خواهد بود. این ویدئو را مشاهده کنید تا دریابید یک هکر در صورت نفوذ به حساب مدیر سیستم چگونه به راحتی و با چند کلیک بدون نیاز به رمز و ... از سد آنتی ویروس عبور میکند. لذا در مورد این نوع باج افزار ها رعایت موارد امنیتی اشاره شده در پاراگراف های قبلی اکیدا توصیه میشود.

آیا تا کنون نفوذگران با انجام تست آسیب پذیری و رفع کلیه نقاط ضعف امنیتی توانسته اند به سروری نفوذ کنند ؟

تا کنون شرکت یا سازمانی که کلیه موارد امنیتی توصیه شده در تست های آسیب پذیری را رعایت کرده باشد و از آنتی ویروس های اورجینال و کانفیگ شده استفاده کرده باشد ، قربانی حملات هک باج افزاری نشده است.

برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :

کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@