روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛یک نمونه ی جدید از خانواده ی بدافزارها با نام Jaff توسط محققان امنیتی شناسایی شده است که بر پایه باتنت Necursدر حال پخش کردن یک باج افزار جدید با سرعت 5 میلیون ایمیل در هر ساعت است و توانسته کامپیوترهای بسیاری را در سراسر جهان آلوده سازد.
باج افزار Jaff نوعی جدید از باج افزارهای رمزنگار است که شباهت بسیار زیادی با باج افزار Locky دارد و فرق اصلی آن ها در مبلغ پولی است که Jaff دریافت می کند و این مبلغ برابر با ۱٫۷۹ بیت کوین (تقریباً 3300 دلار) است که این مبلغ بسیار بالاتر از مبلغ درخواستی Locky برای فایل های رمزنگاری شده خود بود.
طبق گزارش محققان امنیتی Forcepoint Security Lab، باج افزار Jaff به زبان C نوشته شده است و به کمک باتنت Necurs در حال گسترده شدن است که این باتنت در حال حاضر به ۶ میلیون کامپیوتر آلوده شده در سراسر جهان کنترل و نظارت دارد.
باتنت Necurs به میلیونها کاربر ایمیل حاوی یک فایل ضمیمه شده از نوع PFD ارسال میکند که اگر کاربران بر روی آن کلیک کنند یک فایل word باز می شود که دارای یک اسکریپیت ماکروی مخرب است که برای دانلود کردن و اجرای باج افزار Jaff مورد استفاده قرار می گیرد.
ماجرای این باج افزار از چه قرار است؟
این کمپین ایمیل های مخرب در روز 5 شنبه (11 می ماه) از ساعت 9 صبح شروع شده است و در ساعت 1 بعد از ظهر به اوج حمله ی خود رسیده است. در این زمان کوتاه، این سیستم 13 میلیون ایمیل ارسال شده را ثبت کرده است که واضح است نرخ آن بسیار بالا بوده است.
زمانی که قربانی فایل پی دی اف را باز می کرد، مجرمان با یک پیام تبریک بر روی پی دی اف از قربانی استقبال می کردند. محققان امنیتی می گویند، این باج افزار بیش از 423 پسوند فایل را مورد هدف قرار داده است. نکته جالبی که در این باج افزار قابل روئیت بود حالت آفلاین آن بود، Jaff قادر بود در حالت آفلاین و بدون اینکه به یک سرور command and control متصل باشد عملیات رمزنگاری را انجام دهد. طبق روند همه ی باج افزارهای دیگر، پس از رمزنگاری تمامی فایل ها پسوند .jaff می گیرند.
پس از رمزنگاری فایل های قربانی، باج افزار پیغامی را بر روی هر فولدر آلوده شده قرار می دهد، این در حالی است که تصویر دسکتاپ نیز تغییر کرده است.
اما محتویات این پیغام ازجانب باج افزار چه چیزی است؟ این پیغام به قربانیان می گوید که تمامی فایل های شما رمزنگاری شده است اما از آن ها تقاضای باج نمی کند و به جای آن اصرار میکند تا یک پورتال پرداخت را در یک وبسایت که در Tor قرار دارد مشاهده کنند که از طریق مرورگر Tor قابلدسترسی است و در آن نحوه رمزگشایی فایلهای آنها آمده است. در واقع به گونه ای برخورد می کند که قربانیان تصور می کنند آن ها دایه ی دلسوز تر از مادر هستند و به فکر رمزگشایی فایل های آن ها هستند.
هنگامی که قربانی مرورگر Tor را نصب می کند، سایت برای آن ها باز می شود، در آن جا است که درخواست مبلغ بیت کوین یا تقریباً 3300 دلار دلار باج را مشاهده می کنند.
محققان امنیتی این احتمال را می دهند که در پشت باج افزار Jaff، مجرمان Locky، Dridex وBart قرار دارند. سازمان هایی که قربانی این باج افزار موذی شدند در درجه اول در کشورهای انگلستان، آمریکا، ایرلند، بلژیک، ایتالیا، آلمان، هلند، فرانسه، مکزیک و استرالیا بودند.
چگونه در برابر باج افزارJaff در امان بمانیم؟
- محافظت در برابر این باج افزار نیاز به انجام کار خاصی ندارد. شما باید همیشه به پیوست های ایمیل خود مشکوک باشید و هیچ گاه با خیال آسوده آن ها را باز نکنید. هیچگاه بر روی لینکهای قرار داده شده در ایمیل هایی که آن ها را نمی شناسید، کلیک نکنید مگر آنکه از منبع آن مطمئن باشید.
- توجه داشته باشید که گزینه ی Macro در نرم افزار مایکروسافت آفیس غیر فعال باشد و در صورتیکه اینگونه نبود می توانید آن را غیر فعال سازید. در سازمانهای بزرگ، مدیر سیستم میتواند تنظیمات پیشفرضی را برای macroهای تمامی سیستمها در نظر و قرار بدهد.
- بک آپ گیری را فراموش نکنید. یکی از مزیت های بک آپ گیری این است که حتی اگر خشن ترین باج افزارها هم به سیستم شما حمله کنند و به رمزنگاری فایل های شما مشغول شود شما هیچ نگرانی نخواهید داشت و در نهایت با ابزار ضدباج افزار برای کسب و کارها یا ابزار های مختلف برای حذف ویروس آن ها را از بین خواهید برد. در صورتیکه عمل بک آپ گیری را به طور منظم فراموش می کنید؛ می توانید وظیفه این کار را به عهده ی توتال سکیوریتی کسپرسکی بسپارید.
- از یک آنتی ویروس خوب و قوی برای محافظت از سیستم خود در برابر باج افزارهای مختلف و جدید استفاده کنید و همیشه دانش امنیتی خود را با خواندن مقالات امنیتی کسپرسکی آنلاین به روز کنید.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.