در روز پنج شنبه، یک نسخهی جدید از باج افزار Dharma کشف شد که به نام باج افزار cmb نامیده می شود. و افزونهی cmb را به فایل های رمزنگاری شده اضافه می کند. این باج افزار برای اولین بار توسط Micheal Gillespie و از طریق ID Ransomware کشف شد. در ادامه در خصوص نحوهی چگونگی آلوده سازی این باج افزار و هم چنین عملکرد این باج افزار بیشتر توضیح خواهیم داد. متاسفانه تابه امروز هیچ راه حل جایگزین و رایگانی برای بازگردانی فایلهای آلوده وجود ندارد.
توزیع شده از طریق هک Remote Desktop Services
به طور کلی خانوادهی باج افزارDharma و هم چنین نوع Cmb آن، بعد از هک رایانهها و از طریق RDP و پورت ۳۳۸۹ بر روی سیستمها بارگذاری می شود. مجرمان سایبری، رایانههایی را که سرویس RDP آنها در حال اجرا می باشد، و عمدتاَ هم از پورت TCP 3389 استفاده می کنند، اسکن می کنند و سپس تلاش می کنند تا از طریق حملات Brute Force برای دسترسی به رمز عبور استفاده کنند. هنگامیکه به رایانه دسترسی پیدا می کنند، باج افزار را بر روی سیستم نصب می کنند و شروع به رمزنگاری فایلهای سیستم می کنند. اگر مجرمان قادر به رمز نگاری فایلهای رایانههای دیگر در شبکه شوند، تلاش می کنند تا به بهترین شکل ممکن اینکار را انجام دهند.
چگونه باج افزار cmb Dharma شروع به رمزنگاری رایانه ی کند؟
هنگامیکه باج افزار cmb بر روی رایانه نصب می شود شروع به اسکن رایانه میکند تا فایلهای موجود در سیستم را رمزنگاری کنند. هنگام رمزنگاری یک فایل، پسوند را در قالب id-[id].[email].cmb. اضافه می کنند. برای مثال فایلی که بنام Testing.jpg است را رمزنگاری می کنند و آنرا به شکل زیر تغییر نام می دهند.
test.jpg.id-BCBEF350.[paymentbtc@firemail.cc].cmb
لازم به ذکر است که این باج افزار می تواند درایوهایMapped Network – Shared Virtual Machine Host – و Unmapped Network Shares را رمزنگاری کند. بنابراین بسیار مهم است تا این اطمینان را داشته باشید که Network Shares شما قفل باشد، به طوریکه تنها کسانی که به واقع نیاز به دسترسی دارند، اجازهی استفاده از آن را داشته باشند. شما در زیر میتوانید نمونهایی از فایل رمزنگاری شده توسط باج افزار cmb را ببینید.
هنگامیکه رمزنگاری توسط باج افزار به پایان رسید ۲ فایل به منظور نحوهی بازگردانی فایلها در رایانهی آلوده نمایش داده می شود. یکی از آنها فایل info.hta است زمانیکه کاربر وارد سیستم می شود، فایل توسط Autorun اجرا می شود. و دیگر فایل File Encrypted.text است که می تواند بر روی دسکتاپ نمایش داده شود.
هر دو این یادداشتها، نحوهی بازیابی فایلها را به همراه دستورالعمل هایی برای تماس با payment.btc@Firemail.cc
جهت دریافت دستورالعملهای پرداخت می باشند و در نهایت باج افزار خود را پیکر بندی می کند، تا به صورت خودکار هنگام ورود به سیستم ویندوز اجرا شود. این موضوع به باج افزار این امکان را می دهد تا به محض ورود به سیستم شروع به رمزنگاری فایلهای سیستم کند.
مجدداَ ذکر این موضوع لازم است که هیچ راه حل رایگانی برای بازیابی فایلهای آلوده شده با باج افزار cmb وجود ندارد و کسانیکه نیاز به پشتیبانی دارند می توانند از طریق لینک زیر راهنمایی های لازم را دریافت کنند.
نحوه ی حفاظت در مقابل باج افزار Dharma cmb
به منظور حفاظت از Dharma cmb و یا هرنوع باج افزار دیگری، بسیار مهم است که از نرم افزارهای امنیتی مناسب استفاده کنید . نخستین گام در این زمینه، استفاده از یک روش بک آپ گیری قابل اعتماد و آزمایش شده از دادهها است تا بتواند در مواقع اظطراری مانن حملات با ج افزار، فایلهای رمزنگاری شده را بازگردانی کند.
همانطور که باج افزار Dharma معمولاَ از طریق هک سرویس Remote Desktop بر روی سیستم نصب می شود، بسیار مهم است تا از قفل بودن سیستم خود اطمینان داشته باشید. این موضوع به این معنا است که هیچ رایانهایی مستقیماَ و با استفاده از سرویس Remote Desktop نباید به اینترنت متصل شود. به جای آن شما می توانید از سرویس Remote Desktop به همراه VPN استفاده کنید. در اینصورت کسی به غیر ازخود شما نمی تواند به رایانه تان دسترسی پیدا کند.
هم چنین به یاد داشته باشید که شرایط Policy تنظیمات قفل کردن را مطالعه کرده باشید، تا در مواقع حملات Brute-Force دسترسی به حساب شما توسط مجرمان سایبری مشکل شود. شما را هم چنین بایستی نرم افزارهای امنیتی در سیستم خود داشته باشید تا بتوانند هرگونه رفتار مشکوکی را برای مبارزه با باج افزار شناسایی کند نه اینکه تنها به شناسایی Signature ها بپردازد و یا تنها تحلیل اکتشافی انجام دهند.
به عنوان مثال Emsisoft Anti-Malware وMalwarebytes Anti-Malware هر دوی آنها دارای شناسایی رفتاری هستند که می توانند به آسانی بسیاری از آلودگی های ناشی از رمزنگاری باج افزار ها را به موقع شناسایی کنند و از گسترش آنها جلوگیری کنند.
در آخر اطمینان حاصل کنید که به طور مداوم اقدامات امنیتی آنلاین و مناسب را دنبال می کنید، در تمامی اقدامات امنیتی آنلاین و توصیه شده مراحل هستند که توجه به آنها بسیار برای شرایط ایمنی شما مهم است. این مراحل شامل موارد زیر می شود:
- بکاپ، بکاپ، بکاپ
- اگر شخص فرستنده را نمی شناسید، به هیچ عنوان پیوستی را باز نکنید.
- تا زمانیکه شخص فرستنده را تایید نکردید، پیوست را باز نکنید.
- پیوست دریافتی را با ابزار Virus Total اسکن کنید.
- اطمینان حاصل کنید که تمامی بروزرسانی های ویندوز را به موقع انجام داده اید. هم چنین مراقب باشید که تمامی برنامهها به خصوص جاوا Adobe Reader – Flash را حتماَ بروزرسانی کرده باشید. برنامههای قدیمی حاوی آسیب پذیریهای امنیتی هستند که اکثر مجرمان سایبری از آنها سوء استفاده می کنند. بنابراین برنامههای قدیمی موجود در سیستم خود را نیز بروزرسانی شده حفظ کنید.
- اطمینان حاصل کنید که نرم افزارهای امنیتی را بر روی سیستم خود نصب کرده باشید.
- از رمز عبورهای قوی استفاده کنید، و هرگز از رمزعبورهای مشابه در چندین حساب کاربری خود استفاده نکنید.
- اگر از سرویس Remote Desktop استفاده می کنید، هرگز مستقیماَ به اینترنت متصل نشوید، و به جای آن از VPN استفاده کنید.
به منظور راهنمایی های بیشتر، می توانید مقالهی باج افزار چیست و راه های مقابله با آن کدامند؟ را مطالعه کنید.
مطالب مرتبط:
-
هوش مصنوعی و یادگیری ماشین در خدمت امنیت اطلاعات
-
افزونه مسدودکننده تبلیغات آلوده بیش از ۲۰ میلیون کاربر را هک کرد.
-
میکو هیپونن: چگونه آژانس امنیت ملی امریکا به اعتماد جهانی خیانت کرد.
-
ترفندها و نکات امنیتی برای شرکتها و سازمانها
-
دانلود بهترین آنتی ویروس رایگان ۲۰۱۹ – بررسی و مقایسه بیش از ۱۰ ویروس کش رایگان