روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین ما بتازگی حمله یک تروجان جدید را کشف کرده اند که نامش را CryWiper گذاشته‌اند. در نگاه اول این بدافزار شبیه به باج‌افزار است. CryWiper فایل‌ها را دستکاری کرده، به آن‌ها افزونه .CRY اضافه می‌کند (فقط منحصر به کرای‌وایپر) و فایل README.txt  را با یادداشت باج –حاوی آدرس کیف‌پول بیت‌کوین، آدرس ایمیل برای تماس با سازندگان بدافزار و آی‌دی آلودگی- ذخیره می‌کند. با این حال در حقیقت این بدافزار یک وایپر است: فایل دستکاری‌شده‌ توسط CryWiper نمی‌تواند به وضعیت قبلی خود –تحت هیچ شرایطی- بازگردد. پس اگر یادداشت باج دیدید و فایل‌هایتان نیز افزونه جدید  .CRY گرفتند برای پرداخت مبلغ باج عجله نکنید: این کار بیهوده است! در گذشته رشته بدافزارهایی را دیده‌ایم که تصادفی وایپر از آب درآمدند- به دلیل اشتباهات سازندگانشان که پیاده‌سازی الگوریتم‌های رمزگذاری‌شان ضعیف بوده است. اما این بار ماجرا فرق می‌کند: متخصصین ما مطمئنند که هدف اصلی مهاجمین پول نیست بلکه مخدوش کردن داده‌هاست. فایل‌ها در واقع رمزگذاری نمی‌شوند بلکه این تروجان آن‌ها را با داده‌های شبه‌تصادفی تولیدشده بازنویسی می‌کند.

CryWiper دنبال چیست؟

این تروجان هر داده‌ای را که برای عملکرد سیستم عامل حیاتی نیست مخدوش می‌کند. فایل‌هایی که افزونه  .exe, .dll, .lnk, .sys یا .msi دارند تحت‌الشعاع قرار نمی‌گیرند؛ همچنین برخی فولدرهای سیستمی در دایرکتوری  C:\Windows نیز نادیده گرفته می‌شود. این بدافزار تنها تمرکزش روی پایگاه‌های داده، آرشیوها و داکیومنت‌های کاربری است. تا اینجا، متخصصین ما فقط شاهد حملات دقیقی بوده‌اند روی فدراسیون روسیه. اما طبق معمول کسی نمی‌تواند تضمین دهد همین کد برای سایر تارگت‌ها استفاده نمی‌شود.

 ساز و کار تروجان CryWiper

CryWiper  علاوه بر بازنویسی مستقیم محتواهای فایل با یک سری محتوای بی‌معنی همچنین کارهای زیر را نیز انجام می‌دهد:

•         تسکی را ایجاد می‌کند که هر پنج دقیقه یکبار با استفاده از Task Scheduler وایپر را ریستارت می‌کند.
•         نام کامپیوتر آلوده را به سرور C&C ارسال کرده و منتظر فرمان برای شروع حمله می‌ماند.
•         فرآیندهای مربوط به سرورهای پایگاه داده MySQL و MS SQL، میل سرورهای  MS Exchange و سرویس‌های وب MS Active Directory  را متوقف می‌کند (در غیر این صورت دسترسی به برخی فایل‌ها مسدود خواهد شد و شاید مخدوش کردنشان محال شود).
•         کپی‌ فایل‌ها را پاک می‌کند تا دیگر نتوانند ریستور شوند (اما به دلایلی این ریستور فقط در درایو C ممکن است).
•         کانکشن به سیستم آلوده از طریق RDP  (پروتکل دسترسی ریموت) را غیرفعال می‌کند.

هدف مورد آخر هنوز مشخص نیست. شاید با چنین غیرفعال کردنی، نویسندگان بدافزار سعی داشتند کار تیم واکنش به رخداد سایبری را که واضحاً دسترسی ریموت به دستگاه ریموت بوده را سخت کنند- در عوض مجبور می‌شوند به دستگاه حتماً دسترسی فیزیکی داشته باشند.

راهکارهای امنیتی

برای محافظت از کامپیوترهای شرکت خود هم از گزند باج‌افزارها و هم وایپرها متخصصین ما اقدامات زیر را به شما توصیه می‌کنند:

•         کانکشن‌های دسترسی ریموت را به زیرساخت خود به دقت کنترل کنید: جلوی کانکشن‌های شبکه‌های عمومی را بگیرید، فقط RDP را از وی‌پی‌ان مجاز بدانید و از پسوردهای قوی و منحصر به فرد و نیز احراز هویت دو عاملی استفاده کنید.
•         مرتباً نرم‌افزارهای حیاتی را آپدیت کنید، به سیستم عامل، راهکارهای امنیتی، کلاینت‌ها وی‌پی‌ان و ابزارهای دسترسی ریموت توجه ویژه داشته باشید.
•         برای مثال با استفاده از ابزارهای آنلاین تخصصی آگاهی کارمندان خود را در مورد حوزه امنیتی بالا ببرید.
•         راهکارهای امنیتی پیشرفته را استفاده کنید که از دستگاه‌های مخصوص کار محافظت کرده و نیز محیط شبکه سازمانی را نیز نظارت می‌کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.