هشدار امنیتی در مورد باج افزار Crysis :

لابراتوآر ویروس شناسی شرکت کامیران این هفته نشانه های جدیدی از حملات سازندگان باج افزار Crysis را بررسی و آنالیز کرده است. این باج افزار فایل ها را کد کرده و پسوند آنها را به XTBL تغییر میدهد. برای دریافت راهکار های امنیتی مقابله با این باج افزار بر روی ادامه خبر کلیک نمائید.

جدید !!! ابزار رمز گشائی باج افزار Crysis ساخته شده است : رمز گشایی Crysis


این هفته نشانه های فعالیت باج افزار Crysis مجددا توسط متخصصین ویروس شناسی کامیران مشاهده شده است. این باج افزار با استفاده از حفره های امنیتی و اشتباهات کاربران و مدیران شبکه به سیستم نفوذ کرده و اقدام به کد کردن فایل های کاربر میکند.

از جمله ترفند های نفوذ این باج افزار میتوان به : ضمیمه های آلوده ایمیل ، لینک های مخرب در سایت ها و نفوذ از طریق پورت RDP مربوط به ریموت دسکتاپ با استفاده از اختلالات امنیتی ویندوز اشاره کرد.

این باج افزار فایل های کد شده را با فرمولی همانند
extension.<id-number>.<email>.xtbl
تغییر نام میدهد . برای مثال فایل TEST.doc را پس از کد شدن به
TEST.doc.id-6E64B1DB.legioner_seven@aol.com.xtbl
تغییر میدهد.

کلیه گونه های منتشر شده از این باج افزار تا کنون توسط ESET و Kaspersky شناسائی شده است اما با توجه به اینکه این باج افزار ها اغلب از حمله روز صفر استفاده میکنند باید نکات امنیتی را همراه رعایت کرد.


نمونه فایل های کد شده را برای لابراتوآر کامیران ارسال کنید:

با استفاده از فرم زیر نمونه فایل های کد شده و اطلاعات مربوطه را برای لابراتوآر شرکت کامیران ارسال کنید تا درصورت کشف الگوریتم و شاه کلید این باج افزار ، شرکت شما را از طریق ایمیل و پیامک مطلع سازد :

فرم ارسال نمونه باج افزار برای لابراتوآر کامیران

پس از ارسال نمونه حتما این مطلب زیر را در مورد فرم فوق مطالعه نمائید :

کدام باج افزار فایل های شما را کد کرده است ؟

نکات امنیتی عمومی برای جلوگیری از نفوذ این باج افزار چیست ؟

* حتماً از یک آنتی‌ویروس اورجینال که به‌طور مرتب به‌روزرسانی می‌شود استفاده کنید. وجود یک آنتی ویروس اورجینال و آپدیت شده ، امنیتی در حدود 99% را برای شما تامین میکند و شما می توانید با رعایت کردن موراد زیر امنیت خود را به مرز 99.9 % برسانید. پیشنهاد ما در این مورد استفاده از آنتی ویروس های اورجینال ESET یا Kaspersky با لایسنس اصلی میباشد.
* از ابزار ضد باج افزار رایگان شرکت کامیران استفاده نمائید. این ابزار به تنهایی امکان نفوذ بسیاری از باج افزار ها را مسدود مینماید. لینک دانلود
* از بازکردن فایل های الصاق شده در ایمیل های مشکوک ( حتی فایل های Word ) خودداری نموده و در صورت مشاهده ایمیل های مشکوک حتما آنها را جهت بررسی بیشتر به همراه اطلاعات لایسنس اورجینال خود به آدرسفوروارد نمائید.
* به‌طور منظم یک نسخه پشتیبان از تمامی داده‌های حساس خود تهیه کنید.
* در صورت امکان در نرم افزار ایمیل خود فایل های ضمیمه دارای پسوند های VBS,JS,JSE,WSH,WSF,HTA را مسدود نمائید تا این ایمیل ها به دست کاربران شما نرسد.
* دقت کنید که فایروال سیستم‌عامل شما حتماً فعال بوده و به درستی پیکربندی شده باشد.
* تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینک‌ها و یا پیوست نامه‌های الکترونیکی کلیک کنید.
* از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.
* از بازدید وب‌سایت‌های پرخطر خودداری نموده و پیش از بازدید از وب‌سایت‌های ناشناس، از آلوده نبودن آن‌ها اطمینان حاصل نمایید.
* به‌طور مرتب، نرم‌افزارهای مورد استفاده خود را به‌روزرسانی کنید.
* از ویندوز های اورجینال استفاده کنید و یا پچ های امنیتی Microsoft را به طور منظم بر روی سیستم های خود نصب کنید.


نکات امنیتی تخصصی برای جلوگیری از نفوذ این باج افزار چیست ؟

علاوه بر نکات امنیتی عمومی فوق ، رعایت موارد زیر نیز از طرف مدیران شبکه ها الزامی میباشد:

* با توجه به ساختار و عملکرد این باج افزار مشاهده شده است که پورت RDP - Remote  Desktop نیز یکی از حفره های نفوذ این باج افزار است. لذا مدیران شبکه موظف هستند پورت RDP را در سیستم هایی که نیازی به ریموت دسکتاپ نیست غیر فعال کنند. در سیستم هایی که RDP مورد استفاده قرار میگرد باید پورت آن را از 3389 به پورت دیگر غیر قابل حدس زدنی ترجیحا 5 رقمی تغییر دهید.

برای تغییر پورت RDP از مسیر زیر در رجیستری متغییر Port Number را تغییر دهید و سیستم را ریست کنید. از این پس با وارد کردن IP:Port در ریموت دسکتاپ میتوانید به سیستم خود متصل شوید.

HKEY_LOCAL_MACHINE---System---CurrentConrolSet---Control---TerminalServer---WinStations---RDP-Tcp

* همچنین استفاده از رمز های قوی شامل حروف کوچک و بزرگ و اعداد و کاراکترهای خاص برای اکانت های Admin و اکانت های ریموت دسکتاپ الزامی است.

* نصب آخرین پچ های امنیتی مایکروسافت برای ویندوز و استفاده از دیوار آتش ویندوز به صورت کانفیگ شده و فاقد قوانین عمومی و باز نیز برای مقابله با نفوذ این گونه باج افزار ها الزامی میباشد.

* سیستم هایی که از بانک اطلاعاتی SQL استفاده میکنند از پورت 1433 و 1434 برای سرویس دهی استفاده میکنند. در صورت باز کردن این پورت ها در فایروال ویندوز باید دقت شود رنج IP امن حتما در فایروال تعریف شود تا تنها سیستم های مشخصی به این پورت ها دسترسی داشته باشند. در صورت امکان بهتر است از شرکت پشتیبانی بانک اطلاعاتی SQL شما گورت های پیش فرض 1433 و 1434 را به شمار ههای غیر قابل حدسی تغییر دهد.

مدیران شبکه مشترکین شرکت کامیران می توانند برای مشاوره امنیتی بیشتر در موارد فوق با واحد پشتیبانی یا لابراتوآر ویروس شناسی شرکت تماس بگیرند.

برای دریافت اخبار امنیتی لابراتوآر ویروس شناسی شرکت کامیران ، در کانال تلگرام ما با آی دی زیر عضو شوید :

کانال اخبار امنیتی کامیران:
KAMIRANChannel@

لابراتوآر ویروس شناسی
شرکت مهندسی کامیران
نمایندگی رسمی آنتی ویروس های ESET و Kaspersky در ایران
__________________________________________

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect

 آسیب پذیری خطرناک در فایروالهای Fortigate

 هک فایروال Sophos در ده ثانیه

 اطلاعیه افتا برای حمله سایبری مهر99

 ESET حملات Zerologon را مسدود میکند

 باج افزار Locky

 انتشار شاه کلید رمزگشائی باج افزار TeslaCrypt