روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛بدافزارها با کلاهبردارانی که قابلیتها و تکنیکهای جدیدی که مانع شناخت آنها توسط برنامههای آنتی ویروس شود در حال رشد هستند. گاهی اوقات، سرعت رشد نسبتا سریع است. برای مثال، باج افزار SynAck که از سپتامبر 2017 شناخته شده است (در آن زمان خیلی هوشمند نبود و معمولی بود) اخیرا بازسازیهایی انجام داده و به یک تهدید بسیار پیچیده با تاثیرگذاری بینظیر به شمار میرود و از تکنیک جدیدی به نام Process Doppelgänging استفاده میکند.
حملات پنهانی
سازندگان بدافزارها غالبا با حملات پنهانکاری شده کار میکنند تا کدها را غیر قابل خواندن کرده و آنتیویروس بدافزار را تشخیص ندهد و معمولا از نرم افزار بستهبندی خاصی برای این منظور استفاده میکنند. اگرچه که سازندگان آنتی ویروس هم اقدم کردهاند و نرمافزارهای آنتی ویروس در حال حاضر این چنین بستههایی را باز میکند. توسعه دهندگان SynAck روش دیگری را انتخاب کردهاند که برای هر دو طرف زحمت بیشتری دارد. پنهان کردن کامل کد قبل از کامپایل آن شناسایی توسط ابزارهای امنیتی را بسیار سختتر میکند.
این تنها تکنیک حیلهگرانه مورد استفاده در آخرین ورژن SynAck نیست. علاوه بر این از یک تکنیک نسبتا پیچیدهتر Process Doppelgänging استفاده میکنند و این اولین باجافزاری است که از آن استفاده میکند. Process Doppelgänging نخستین بار در Black Hat 2017 توسط محققان امنیتی ارائه شد و پس از آن توسط بدافزارسازان برداشته شد و در انواع مختلف بدافزارها به کار رفته است.
Process Doppelgänging بر برخی ویژگیهای سیستم فایل NTFS و یک بارگذارنده ویندوز که در تمامی نسخههای ویندوز XP به بعد وجود دارد مبتنی است و به سازندگان و توسعه دهندگان امکان ساخت بدافزارهای بدون فایلی را میدهد که میتوانند اقدامات خرابکارانه را بدون ضرر و شبیه یک فرآیند منطقی جا بزنند.
SynAck دو ویژگی قابل ذکر دیگر هم دارد. اول اینکه محل نصب درست خود را چک میکند و اگر این چنین نباشد اجرا نمیشود. این روش برای جلوگیری از تشخیص توسط سندینگ باکس های خودکاری است که توسط راهکارهای امنیتی مختلف استفاده میشود به کار میرود. ویژگی دوم، SynAck این مورد را که بر روی یک کامپیوتر با کیبوردی که برای اسکریپت مشخصی؛ در اینجا Cyrillic تنظیم شده است،نصب می کند. این تکنیک رایجی برای محدود کردن بدافزار به نواحی خاص است.
جرایم معمول
از دیدگاه کاربران، SynAck بیشتر یک باج افزار است، احتمالا به دلیل درخواست گزاف 3000 دلاری اش. پیش از رمزنگاری فایلهای کاربر، SynAck اطمینان حاصل میکند که با از بین بردن برخی پردازشها به فایلهای هدف مهم دسترسی داشته باشد، در غیر این صورت فایلها را برای استفاده نگه داشته و محدودیت لحاظ نمیکند.
قربانی پیام باجگیری شامل نحوه ارتباط را در صفحه لاگ آن میبیند. متاسفانه SynAck از یک الگوریتم رمزنگاری قوی استفاده میکند و هیچ نقصی در اجرای آن مشاهده نشده، بنابراین تا کنون هیچ راهی برای رمزگشایی فایلهای رمزگذاری شده وجود ندارد.
توزیع SynAck بیشتر با توسل به زور به صورت دسترسی از راه دور به دسکتاپ ویندوز دیده شده، بدین معنی که بیشتر کاربران تجاری را هدف قرار داده است. تعداد محدود حملات که همگی در ایالات متحده، کویت و ایران تا کنون رخ داده این فرضیه را تایید میکند.
آماده شدن برای نسل بعدی باج افزارها
حتی اگر SynAck تا الان به سراغ شما نیامده، وجود آن نشانه واضحی از رشد باجافزارها و بیش از پیش پیچیده شدن آنها و دشواری بیشتر برای حفاظت در برابر آنها است. تجهیزات رمزگشایی کمتر مشاهده میشوند، چرا که مهاجمان یادگرفتهاند از اشتباهاتی که ایجاد این رمزگشاها را ممکن میکند اجتناب کنند. و علی رغم واگذارکردن زمین به ماینرهای مخفی، باجافزار همچنان یک گرایش جهانی بزرگ دارد و دانستن نحوه محافظت در برابر این چنین تهدیدهایی برای هر کاربر اینترنتی واجب است.
در اینجا برخی از نکاتی که میتواند به شما در جلوگیری از آلوده شدن و یا در شرایط اضطراری در حداقل کردن خسارت به شما کمک کند را ارائه میدهیم:
- به طور منظم از دادههای خود بک آپ بگیرید. این بک آپ را بر روی واسطهای که دائما به شبکه شما یا اینترنت متصل نیست ذخیره کنید.
- اگر از Windose Remote Desktop در فرآیندهای کاری خود استفاده نمیکنید آن را غیر فعال کنید.
- از یک راهکار امنیتی خوب با فایروال داخلی و اجزای مختص ضد باجگیری مانند Kaspersky Small Office Security برای کسب و کارهای کوچک و Kaspersky Endpoint Security برای شرکتهای بزرگتر استفاده کنید.محصولات لابراتوار کسپرسکی علی رغم استراتژیهای مخفیکارانه SynAck قادر به شناسایی و تشخیص آن است.
- اگر در حال حاضر از یک راهکار امنیتی دیگر استفاده میکنید همچنان میتوانید Kaspersky Anti Ransomware Tool را نیز نصب کنید که رایگان بوده و با مجموعههای امنیتی شرکتهای دیگر نیز سازگاری دارد.
منبع: کسپرسکی آنلاین(ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.