روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متخصصین ما بتازگی حمله یک تروجان جدید را کشف کرده اند که نامش را CryWiper گذاشتهاند. در نگاه اول این بدافزار شبیه به باجافزار است. CryWiper فایلها را دستکاری کرده، به آنها افزونه .CRY اضافه میکند (فقط منحصر به کرایوایپر) و فایل README.txt را با یادداشت باج –حاوی آدرس کیفپول بیتکوین، آدرس ایمیل برای تماس با سازندگان بدافزار و آیدی آلودگی- ذخیره میکند. با این حال در حقیقت این بدافزار یک وایپر است: فایل دستکاریشده توسط CryWiper نمیتواند به وضعیت قبلی خود –تحت هیچ شرایطی- بازگردد. پس اگر یادداشت باج دیدید و فایلهایتان نیز افزونه جدید .CRY گرفتند برای پرداخت مبلغ باج عجله نکنید: این کار بیهوده است! در گذشته رشته بدافزارهایی را دیدهایم که تصادفی وایپر از آب درآمدند- به دلیل اشتباهات سازندگانشان که پیادهسازی الگوریتمهای رمزگذاریشان ضعیف بوده است. اما این بار ماجرا فرق میکند: متخصصین ما مطمئنند که هدف اصلی مهاجمین پول نیست بلکه مخدوش کردن دادههاست. فایلها در واقع رمزگذاری نمیشوند بلکه این تروجان آنها را با دادههای شبهتصادفی تولیدشده بازنویسی میکند.
CryWiper دنبال چیست؟
این تروجان هر دادهای را که برای عملکرد سیستم عامل حیاتی نیست مخدوش میکند. فایلهایی که افزونه .exe, .dll, .lnk, .sys یا .msi دارند تحتالشعاع قرار نمیگیرند؛ همچنین برخی فولدرهای سیستمی در دایرکتوری C:\Windows نیز نادیده گرفته میشود. این بدافزار تنها تمرکزش روی پایگاههای داده، آرشیوها و داکیومنتهای کاربری است. تا اینجا، متخصصین ما فقط شاهد حملات دقیقی بودهاند روی فدراسیون روسیه. اما طبق معمول کسی نمیتواند تضمین دهد همین کد برای سایر تارگتها استفاده نمیشود.
ساز و کار تروجان CryWiper
CryWiper علاوه بر بازنویسی مستقیم محتواهای فایل با یک سری محتوای بیمعنی همچنین کارهای زیر را نیز انجام میدهد:
- تسکی را ایجاد میکند که هر پنج دقیقه یکبار با استفاده از Task Scheduler وایپر را ریستارت میکند.
- نام کامپیوتر آلوده را به سرور C&C ارسال کرده و منتظر فرمان برای شروع حمله میماند.
- فرآیندهای مربوط به سرورهای پایگاه داده MySQL و MS SQL، میل سرورهای MS Exchange و سرویسهای وب MS Active Directory را متوقف میکند (در غیر این صورت دسترسی به برخی فایلها مسدود خواهد شد و شاید مخدوش کردنشان محال شود).
- کپی فایلها را پاک میکند تا دیگر نتوانند ریستور شوند (اما به دلایلی این ریستور فقط در درایو C ممکن است).
- کانکشن به سیستم آلوده از طریق RDP (پروتکل دسترسی ریموت) را غیرفعال میکند.
هدف مورد آخر هنوز مشخص نیست. شاید با چنین غیرفعال کردنی، نویسندگان بدافزار سعی داشتند کار تیم واکنش به رخداد سایبری را که واضحاً دسترسی ریموت به دستگاه ریموت بوده را سخت کنند- در عوض مجبور میشوند به دستگاه حتماً دسترسی فیزیکی داشته باشند.
راهکارهای امنیتی
برای محافظت از کامپیوترهای شرکت خود هم از گزند باجافزارها و هم وایپرها متخصصین ما اقدامات زیر را به شما توصیه میکنند:
- کانکشنهای دسترسی ریموت را به زیرساخت خود به دقت کنترل کنید: جلوی کانکشنهای شبکههای عمومی را بگیرید، فقط RDP را از ویپیان مجاز بدانید و از پسوردهای قوی و منحصر به فرد و نیز احراز هویت دو عاملی استفاده کنید.
- مرتباً نرمافزارهای حیاتی را آپدیت کنید، به سیستم عامل، راهکارهای امنیتی، کلاینتها ویپیان و ابزارهای دسترسی ریموت توجه ویژه داشته باشید.
- برای مثال با استفاده از ابزارهای آنلاین تخصصی آگاهی کارمندان خود را در مورد حوزه امنیتی بالا ببرید.
- راهکارهای امنیتی پیشرفته را استفاده کنید که از دستگاههای مخصوص کار محافظت کرده و نیز محیط شبکه سازمانی را نیز نظارت میکنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
