اخبار

انتشار نسخه‌ی جدید باج افزار Dharma به نام باج افزار Cmb

در روز پنج شنبه، یک نسخه‌ی جدید از باج افزار Dharma کشف شد که به نام باج افزار cmb نامیده می شود. و افزونه‌ی cmb را به فایل های رمزنگاری شده اضافه می کند. این باج افزار برای اولین بار توسط Micheal Gillespie  و از طریق ID Ransomware کشف شد. در ادامه در خصوص نحوه‌ی چگونگی آلوده سازی این باج افزار و هم چنین عملکرد این باج افزار بیشتر توضیح خواهیم داد. متاسفانه تابه امروز هیچ راه حل جایگزین و رایگانی برای بازگردانی فایلهای آلوده وجود ندارد.

 

توزیع شده از طریق هک Remote Desktop Services

به طور کلی خانواده‌ی باج افزارDharma  و هم چنین نوع Cmb آن، بعد از هک رایانه‌ها و از طریق RDP  و پورت ۳۳۸۹ بر روی سیستم‌ها بارگذاری می شود. مجرمان سایبری، رایانه‌هایی را که سرویس RDP آنها در حال اجرا می باشد، و عمدتاَ هم از پورت TCP 3389 استفاده می کنند، اسکن می کنند و سپس تلاش می کنند تا از طریق حملات Brute Force برای دسترسی به رمز عبور استفاده کنند. هنگامیکه به رایانه دسترسی پیدا می کنند، باج افزار را بر روی سیستم نصب می کنند و شروع به رمزنگاری فایل‌های سیستم می کنند. اگر مجرمان قادر به رمز نگاری فایل‌های رایانه‌های دیگر در شبکه شوند، تلاش می کنند  تا به بهترین شکل ممکن اینکار را انجام دهند.

 

چگونه باج افزار cmb Dharma شروع به رمزنگاری رایانه ی کند؟

هنگامیکه باج افزار cmb بر روی رایانه نصب می شود شروع به اسکن رایانه می‌کند تا فایل‌های موجود در سیستم را رمزنگاری کنند. هنگام رمزنگاری یک فایل، پسوند را در قالب id-[id].[email].cmb. اضافه می کنند. برای مثال فایلی که بنام Testing.jpg است را رمزنگاری می کنند و آنرا به شکل زیر تغییر نام می دهند.

test.jpg.id-BCBEF350.[paymentbtc@firemail.cc].cmb

لازم به ذکر است که این باج افزار می تواند درایوهایMapped Network – Shared Virtual Machine Host – و Unmapped Network Shares را رمزنگاری کند. بنابراین بسیار مهم است تا این اطمینان را داشته باشید که Network Shares شما قفل باشد، به طوریکه تنها کسانی که به واقع  نیاز به دسترسی دارند، اجازه‌ی استفاده از آن را داشته باشند. شما در زیر می‌توانید نمونه‌ایی از فایل رمزنگاری شده توسط باج افزار cmb را ببینید.

هنگامیکه رمزنگاری توسط باج افزار به پایان رسید ۲ فایل به منظور نحوه‌ی بازگردانی فایل‌ها در رایانه‌ی آلوده نمایش داده می شود. یکی از آنها فایل info.hta  است زمانیکه کاربر وارد سیستم می شود، فایل توسط Autorun اجرا می شود. و دیگر فایل File Encrypted.text است که می تواند بر روی دسکتاپ نمایش داده شود.

هر دو این یادداشت‌ها، نحوه‌ی بازیابی فایل‌ها را به همراه دستورالعمل هایی برای تماس با payment.btc@Firemail.cc

جهت دریافت دستورالعمل‌های پرداخت می باشند و در نهایت باج افزار خود را پیکر بندی می کند، تا به صورت خودکار هنگام ورود به سیستم ویندوز اجرا شود. این موضوع به باج افزار این امکان را می دهد تا به محض ورود به سیستم شروع به رمزنگاری فایل‌های سیستم کند.

مجدداَ ذکر این موضوع لازم است که هیچ راه حل رایگانی برای بازیابی فایل‌های آلوده شده با باج افزار cmb وجود ندارد و کسانیکه نیاز به پشتیبانی دارند می توانند از طریق لینک زیر راهنمایی های لازم را دریافت کنند.

 

نحوه ی حفاظت در مقابل باج افزار Dharma cmb

به منظور حفاظت از Dharma cmb و یا هرنوع باج افزار دیگری، بسیار مهم است که از نرم افزارهای امنیتی مناسب استفاده کنید . نخستین گام در این زمینه، استفاده از یک روش بک آپ گیری قابل اعتماد و آزمایش شده از داده‌ها است تا بتواند در مواقع اظطراری مانن حملات با ج افزار، فایل‌های رمزنگاری شده را بازگردانی کند.

باج افزار cmb

 

فایلهای کد شده توسط باج افزار Dharma Cmb

همانطور که باج افزار Dharma معمولاَ از طریق هک سرویس Remote Desktop  بر روی سیستم نصب می شود،  بسیار مهم است تا از قفل بودن سیستم خود اطمینان داشته باشید. این موضوع به این معنا است که هیچ رایانه‌ایی مستقیماَ و با استفاده از سرویس Remote Desktop نباید به اینترنت متصل شود. به جای آن شما می توانید از سرویس Remote Desktop به همراه VPN استفاده کنید. در اینصورت کسی به غیر ازخود شما نمی تواند به رایانه تان دسترسی پیدا کند.

هم چنین به یاد داشته باشید که شرایط Policy تنظیمات قفل کردن را مطالعه کرده باشید، تا در مواقع حملات Brute-Force دسترسی به حساب شما توسط مجرمان سایبری مشکل شود. شما را هم چنین بایستی نرم افزارهای امنیتی در سیستم خود داشته باشید تا بتوانند هرگونه رفتار مشکوکی را برای مبارزه با باج افزار شناسایی کند نه اینکه تنها به شناسایی Signature ها بپردازد و یا تنها تحلیل اکتشافی انجام دهند.

به عنوان مثال Emsisoft Anti-Malware وMalwarebytes Anti-Malware  هر دوی آنها دارای شناسایی رفتاری هستند که می توانند به آسانی بسیاری از آلودگی های ناشی از رمزنگاری باج افزار ها را به موقع شناسایی کنند و از گسترش آنها جلوگیری کنند.

در آخر اطمینان حاصل کنید که به طور مداوم اقدامات امنیتی آنلاین و مناسب را دنبال می کنید، در تمامی اقدامات امنیتی آنلاین و توصیه شده مراحل هستند که توجه به آنها بسیار برای شرایط ایمنی شما مهم است. این مراحل شامل موارد زیر می شود:

  • بکاپ، بکاپ، بکاپ
  • اگر شخص فرستنده را نمی شناسید، به هیچ عنوان پیوستی را باز نکنید.
  • تا زمانیکه شخص فرستنده را تایید نکردید، پیوست را باز نکنید.
  • پیوست دریافتی را با ابزار Virus Total اسکن کنید.
  • اطمینان حاصل کنید که تمامی بروزرسانی های ویندوز را به موقع انجام داده اید. هم چنین مراقب باشید که تمامی برنامه‌ها به خصوص جاوا Adobe Reader – Flash را حتماَ بروزرسانی کرده باشید. برنامه‌های قدیمی حاوی آسیب پذیری‌های امنیتی هستند که اکثر مجرمان سایبری از آنها سوء استفاده می کنند.  بنابراین برنامه‌های قدیمی موجود در سیستم خود را نیز بروزرسانی شده حفظ کنید.
  • اطمینان حاصل کنید که نرم افزارهای امنیتی را بر روی سیستم خود نصب کرده باشید.
  • از رمز عبورهای قوی استفاده کنید، و هرگز از رمزعبورهای مشابه در چندین حساب کاربری خود استفاده نکنید.
  • اگر از سرویس Remote Desktop استفاده می کنید، هرگز مستقیماَ به اینترنت متصل نشوید، و به جای آن از VPN استفاده کنید.

به منظور راهنمایی های بیشتر، می توانید مقاله‌ی باج افزار چیست و راه های مقابله با آن کدامند؟ را مطالعه کنید.

مطالب مرتبط:

 


انتشار نسخه‌ی جدید باج افزار Dharma به نام باج افزار Cmb


نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید