شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - بازگشت دوباره باج افزار CryptoWall 3.0

منوی اصلی

(مشاوره خرید و پشتیبانی)

آنتی ویروس تحت شبکه

مرکز ضد باج افزاری

مرکز آموزش کامیران

مرکز ویدئوهای کامیران

اخبار شرکت کامیران

خرید لایسنس Security

خرید لایسنس Kaspersky

خرید لایسنس Bitdefender

تمدید اعتبار لایسنس

ارسال فایل مشکوک

سفارش Internet Security

سفارش سرویس اقتصادی

نظرات مشترکین کامیران

گواهینامه های نمایندگی

نمایندگان کامیران

فرم ارتباط با کامیران

گواهینامه های کامیران

مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800

کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
واتساپ فروش : 09302700800

تلگرام واحد پشتیبانی:
@KAMIRANSupport
واتساپ واحد پشتیبانی:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بله و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

رادار ویروس ها

اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET

اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky

بازگشت دوباره باج افزار CryptoWall 3.0

بازگشت دوباره باج افزار CryptoWall 3.0 :

باج افزار CryptoWall مجددا پس از مدتها با نگارش جدید خود فضای مجازی را متشنج نمود. باج افزار ها یا RansomWare ، بد افزار هایی هستند که اطلاعات کاربر را در ازای پرداخت باج به گروگان میگیرند. این بدافزار ها معمولا از طریق سایت های غیر اخلاقی ، فایل های الصاق شده به ایمیل های مشکوک ، فلش های آلوده و نقطه ضعف های سیستم عامل منتقل میشوند . برای اطلاعات بیشتر در مورد این باج افزار جدید بر روی ادامه خبر کلیک نمائید.

باج‌افزار ها (RansomWare) گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود میکنند و برنامه نویس آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند. باج‌افزارها ابتدا در روسیه مشاهده شدند اما اخیراً تعداد حملات باج‌افزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالات متحده آمریکا افزایش یافته است. برای اطلاعات بیشتر در مورد باج افزارها اینجا را کلیک کنید .

نسخه جدید نگارش 3.0 باج افزار CryptoWall در تاریخ 14 ژانویه 2015 برای اولین بار با عنوان Win32/Injector.BSVJ توسط آنتی ویروس های ESET در آپدیت شماره 11013 شناسائی شد. لیست کامل ویروس های شناسائی شده در آپدیت 11013 در لینک زیر موجود است:

http://virusradar.com/en/update/info/11013

تصاویری از نشانه های این بدافزار :

HELP_DECRYPT.TXT :

HELP_DECRYPT.HTML :

سایت سرویس باجگیری :

این باج افزار پس از شناسائی توسط لابراتوآر ESET ظرف مدت 2 روز به صورت کامل از میان کاربران ESET پاکسازی شد اما در این میان تعداد بسیاری از کاربران که سیستم آنها فاقد آنتی ویروس های آپدیت شده بود به دام این بد افزار گرفتار شدند.

این باج افزار از طریق فایل الصاق شده به ایمیل های مشکوک ، سایت های غیر اخلاقی ، فلش ها و نقطه ضعف های موجود در ویندوز های آپدیت نشده به سیستم کاربر نفوذ کرده و درصوتی که آنتی ویروس اوریجینال و فعالی در سیستم وجود نداشته باشد به سرعت شروع به کد گذاری بر روی فایل های کاربر می نماید یا به عبارت دیگر فایل ها را به گروگان میگیرد. فایل های کد شده دیگر قابل اجرا نخواهند بود. این بدافزار پس از کد گزاری فایلی به نام HELP_DECRYPT با پسوند های TXT ، HTML , PNG و ... در شاخه کد شده ایجاد میکند که حاوی متن راهنما درباره این باج گیری دیجیتال و دستورالعمل پرداخت مبلغ باج است. فایل راهنمای این باج افزار نیز به عنوان Win32/Filecoder.CR trojan توسط آنتی ویروس های ESET شناسائی و حذف میشوند.

این باج افزار از سیستم الگوریتم RSA-2048 برای کدگذاری فایل های قربانی استفاده میکند. CryptoWall برای بازکردن فایل های کد شده درخواست مبلغ 500 دلار کرده است که در صورت عدم پرداخت در تاریخ مقرر به 1000 دلار افزایش پیدا میکند. این مبلغ به صورت bitcoin که پولی دیجیتال و آنلاین است پرداخت میشود.

نمودار رشد این باج افزار نشان میدهد که فعالیت این ویروس در روز 15 ژانویه 2015 به حداکثر مقدار خود رسید و در سیسم های 0.03 درصد کاربران ESET شناسائی و پاکسازی شد و با توجه به شناسائی سریع و پاکسازی کارامد ، این بدافزار در تاریخ 17 ژانویه 2015 در بین کاربران ESET های اوریجینال کاملا پاکسازی و منقرض شده است :

http://virusradar.com/en/Win32_Injector.BSVJ/chart/history

مشخصات شناسائی و اوج فعالیت و آلودگی :
http://virusradar.com/en/Win32_Injector.BSVJ/detail

این بدافزار برای شروع عملیات کد گذاری نیاز به ارتباط آنلاین با سرورهای مرکزی خود دارد لذا خوشبختانه CryptoWall 3.0 در سیستم های دارای اینترانت ملی و همچنین سیستم های غیر آنلاین نمی تواند عملیات کدگذاری خود را آغاز کند.

معمولا کد گشایی این باجگیری های دیجیتالی ماهها به طول می انجامد و تا دستگیری عوامل طراح آنها کدها لو نخواهد رفت. در حال حاضر ( زمان درج این مقاله ) نیز هیچ الگوریتمی برای بازیابی فایل های کد شده توسط CryptoWall 3.0 ، موجود نیست.

طریقه تشخیص دقیق نوع باج افزار :

با استفاده از فرم زیر نمونه فایل های کد شده و اطلاعات مربوطه را برای لابراتوآر شرکت کامیران ارسال کنید تا ضمن تشخیص نوع باج افزار ، درصورت کشف الگوریتم و شاه کلید آن ، لابراتوآر ویروس شناسی کامیران ، شما را از طریق ایمیل و پیامک مطلع سازد :

فرم ارسال نمونه باج افزار برای لابراتوآر کامیران

پس از ارسال نمونه حتما این مطلب زیر را در مورد فرم فوق مطالعه نمائید :

کدام باج افزار فایل های شما را کد کرده است ؟

لذا برای بازیابی فایل های کد شده تنها راههای زیر قابل استفاده است :

1 - استفاده از فایل های بکاپ دوره ای
یکی از طرق مقابله با حملات سایبری و بدافزارها بعد از استفاده از یک آنتی ویروس اوریجینال ، بکاپ گیری ادواری و منظم اطلاعات میباشد تا در صورت بروز موارد خاص بتوان فایل های سالم را بازیابی نمود.

2- استفاده از بکاپ های Volume Shadow Copy Service ویندوز :
با استفاده از نرم افزار Shadow Explorer میتوانید فایل های بکاپ گرفته شده توسط سیستم بکاپ گیری خودکار ویندوز را بازیابی کنید :
http://www.shadowexplorer.com/downloads.html
دقت نمائید که این بدافزار اگر فرصت کافی داشته باشد فایل های Shadow سیستم عامل را یز حذف خواهد کرد. و اگر در زمان آلودگی سیستم به سرعت خاموش نشده باشد این راهکار نیز عملا بی اثر خواهد بود زیرا باج افزار پس از کد کردن کلیه فایل ها سرفرصت اقدام به حذف فایل های Shadow می نماید)

3 - استفاده از نرم افزار های ریکاوری اطلاعات :
نرم افزار های باجگیر معمولا یک کپی از فایل ها گرفته و آنها را کد کرده و سپس فایل اصلی را حذف میکنند. لذا این شانس وجود دارد که با استفاده از نرم افزار های ریکاوری بتوان به فایل های اصلی دست پیدا کرد. برای اطلاعات بیشتر در این زمینه با متخصصین ریکاوری اطلاعات تماس گرفته و یا از نرم افزار های ریکاوری موجود در بازار استفاده نمائید.

4- پرداخت مبلغ باج به طراحان این باج افزار :
راه کار آخر پرداخت مبلغ باج به سایت این باجگیران است که این کار وسط شرکت کامیران توصیه نمیشود زیرا تضمینی نیست که باجگیران پس از دریافت مبلغ ، فایل های شما را آزاد نمایند. مجددا متذکر میشویم پرداخت باج به برنامه نویسان فقط در صورتی که اطلاعات کد شده از ارزش بالایی برخوردارند منطقی بوده و ارزش ریسک دارد اما فرموش نکنید که اینان کلاهبرداران دیجیتالی هستند و اطمینانی به آنها وجود ندارد.

تا این لحظه (زمان درج این مقاله) راهکار دیگری برای بازیابی فایل های کد شده کشف نشده است .

در انتها مثل همیشه از کلیه کاربران گرامی میخواهیم همیشه از آنتی ویروس های اوریجینال و آپدیت شده دارای پشتیبانی قوی استفاده کنند و هرگز خطاهای آنتی ویروس را نادیده نگیرند.

اگر سيستم شما به هر دلیلی به ويروسهاي باجگير آلوده شود، حتي در صورت پاکسازي کامل سيستم، امکان بازيابي فايلها و اطلاعات رمزگذاري شده، نزديک به صفر خواهد بود. بنابراين موارد زير را براي پيشگيري از نفوذ ويروس هاي باج گير به سيستم رعايت کنيد:

1- مطلقاً از قانون "روي هر لينکي کليک کن!" و يا "هر چيزي رو دانلود کن!" پيروي نکنيد.

2- در بازکردن ايميل هاي ناشناس و فايلهاي ضميمه آن ها دقت نمائید و حتما ایمیل های مشکوک را برای واحد پشتیبانی و لابراتوآر ویروس شناسی آنتی ویروس خود ارسال نمائید.

3- مراقب پيغام هايي که در اينترنت به صورت ناگهاني براي شما نمايش داده مي شوند باشيد.

4- آنتی ویروس سيستم را به صورت دائم بروز نگاه داريد.

5- حافظه‌هاي جانبي مانند فلش ديسکها، پخش کننده هاي موسيقي و .. مي توانند حامل ويروس هاي خطرناک باشند.

6- و مهمتر ازهمه بک آپ دوره اي را فراموش نکنيد!

آپدیت بودن ویندوز نیز بسیاری از حفره های امنیتی سیستم عامل را پوشش داده و جلوی نفوذ بدافزار ها را خواهد گرفت لذا استفاده از ویندوز های اوریجینال با قابلیت آپدیت نیز مسئله ای مهم در امنیت سیسم تلقی میشود. کاربران گرامی که از لایسنس های اوریجینال ESET با پشتیبانی شرکت کامیران استفاده میکنند میتوانند در صورت مشاهده هر گونه ایمیل مشکوک آن را از طریق این راهنما به شرکت اطلاع دهند :

راهنمای ارسال فایل های مشکوک به لابراتوآر ویروس شناسی کامیران

نقطه نظرات خود در مورد این بدافزار و راهکار های احتمالی بازگرداندن فایل های کد شده را با لابراتوآر ویروسی شناسی شرکت کامیران با آدرسدرمیان بگذارید.

از این پس چه کنیم که قربانی باج افزار ها نشویم ؟

* حتماً از یک آنتی‌ویروس اورجینال که به‌طور مرتب به‌روزرسانی می‌شود استفاده کنید. وجود یک آنتی ویروس اورجینال و آپدیت شده ، امنیتی در حدود 99% را برای شما تامین میکند و شما می توانید با رعایت کردن موراد زیر امنیت خود را به مرز 99.9 % برسانید. پیشنهاد ما در این مورد استفاده از آنتی ویروس های اورجینال ESET یا Kaspersky با لایسنس اصلی میباشد.
* از ابزار ضد باج افزار رایگان شرکت کامیران استفاده نمائید. این ابزار به تنهایی امکان نفوذ بسیاری از باج افزار ها را مسدود مینماید. لینک دانلود
* از بازکردن فایل های الصاق شده در ایمیل های مشکوک ( حتی فایل های Word ) خودداری نموده و در صورت مشاهده ایمیل های مشکوک حتما آنها را جهت بررسی بیشتر به همراه اطلاعات لایسنس اورجینال خود به آدرسفوروارد نمائید.
* به‌طور منظم یک نسخه پشتیبان از تمامی داده‌های حساس خود تهیه کنید.
* در صورت امکان در نرم افزار ایمیل خود فایل های ضمیمه دارای پسوند های VBS,JS,JSE,WSH,WSF,HTA را مسدود نمائید تا این ایمیل ها به دست کاربران شما نرسد.
* دقت کنید که فایروال سیستم‌عامل شما حتماً فعال بوده و به درستی پیکربندی شده باشد.
* تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینک‌ها و یا پیوست نامه‌های الکترونیکی کلیک کنید.
* از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.
* از بازدید وب‌سایت‌های پرخطر خودداری نموده و پیش از بازدید از وب‌سایت‌های ناشناس، از آلوده نبودن آن‌ها اطمینان حاصل نمایید.
* به‌طور مرتب، نرم‌افزارهای مورد استفاده خود را به‌روزرسانی کنید.

لابراتوآر ویروس شناسی و آنالیز بد افزار های رایانه ای
شرکت مهندسی کامیران
__________________________________________

کلمات کليدي : CryptoWall CryptoWall 3.0 ransomeware Win32/Filecoder.CR trojan ویروس کد کردن فایل ها ویروس کد کننده ویروس قفل کننده فایل ها ویروس گروگان گیری فایل ها HELP_DECRYPT.TXT

ارسال شده در مورخه : شنبه، 11 بهمن ماه ، 1393 توسط administrator