روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)،سه شنبه شب و چهارشنبه صبح کل جهان شاهد نژاد جدیدی از بدافزارهای رمزنگار بود. کارشناسان ما اینگونه از بدافزار را ExPetr ( برخی دیگر آن را Petya، PetrWrap و اسم های دیگر) می نامند. تفاوت کلیدی این باج افزار جدید در این زمان این است که مجرمان پشت این حمله، اهداف خود را با دقت بیشتری انتخاب کرده اند: اکثر قربانیان این حمله سازمان ها و کسب و کارها هستند و نه کاربران معمولی.
بدترین خبر این است که مجرمان زیرساخت های مهم و حیاتی سازمان ها را مورد حمله ی مستقیم خود قرار داده اند و به بیانی ساده تر بخواهیم بگوییم آن ها را نابود کرده اند. به عنوان مثال، در روز حمله چند پرواز در اوکراین به تاخیر افتاد.
اما به راستی چرا سیستم های حیاتی کسب و کارها مورد اصابت مستقیم بدافزارهای رمزنگار قرار می گیرند؟ دلیل آن کاملا واضح است، به این خاطر است که زیرساخت ها به طور مستقیم به شبکه شرکت ها متصل هستند و یا به طور مستقیم به اینترنت دسترسی دارد.
چه کاری باید انجام دهیم؟
درست همانند واناکرای، ما دو مشکل علنی داریم: نفوذ بدافزارها به زیرساخت های شرکت ها و گسترش آن ها. این دو مشکل باید به طور جدی مورد توجه قرار بگیرد.
نفوذ اولیه
کارشناسان ما مسیرهای مختلفی را نشان می دهند که بدافزارها به شبکه نفوذ می کنند. در برخی از موارد مجرمان از سایت های مخرب استفاده می کنند و کاربران بدافزارها را به عنوان آپدیت نرم افزارها دریافت می کنند. در موارد دیگر، آلودگی ها از طریق آپدیت های نرم افزارهای شخص سوم گسترش می یابند. به عنوان مثال از طریق نرم افزار حسابداری اوکراین به نام M.E.Doc این آلودگی گسترش یافت. به عبارت دیگر نمی توان هیچ پیش بینی قوی را برای محافظت در برابر بدافزارها در نظر گرفت.
ما برای جلوگیری از ورود بدافزارها به زیرساخت ها توصیه هایی داریم که به شرح زیر است:
- کارمندان خود را برای بازنکردن فایل های مشکوک و کلیک نکردن بر روی لینک های مشکوک آموزش دهید. ( شاید این راهی پیش و پا افتاده باشد، اما باید دانست که در شرکت ها همچنان به کرات این بی دقتی دیده می شود).
- اطمینان حاصل کنید که تمام سیستم های متصل به اینترنت شما به راهکارهای امنیتی که تمام قدم های آنلاین شما را آنالیز می کند، مجهز است.
- بررسی کنید که اجزای مهم راهکارهای امنیتی شما فعال باشند. (در رابطه با راهکارهای امنیتی لابراتوار کسپرسکی اطمینان و امنیت در سیستم واچر و امنیت شبکه آن خلاصه می شود).
- راهکارهای امنیتی خود را به روز نگه دارید.
لابراتوار کسپرسکی برای حفاظت بیشتر ابزار رایگانی را ( حتی برای کسانی که از راهکارهای امنیتی لابراتوار کسپرسکی استفاده نمی کنند)سازگار با اکثر راهکارهای امنیتی منتشر کرده است که بوسیله ی آن می توانید در برابر بدافزارها محافظت شوید.
ترویج در شبکه
هنگامی که تله ی مجرمان در دو باج افزار در یک سیستم واحد مقایسه می شود، ExPetr بسیار قوی تر از واناکرای در یک شبکه ی محلی گسترش می یابد. دلیل این قوی بودن، طیف گسترده ای از قابلیت ها است که برای این هدف خاص در نظر گرفته شده است. اول اینکه این بدافزار از دو اکسپلویت استفاده می کند: یک EternalBlue اصلاح شده ( که در واناکرای هم مورد استفاده قرار گرفت) و EternalRomance ( اکسپلویتی دیگر از TCP پورت 445). دوم اینکه زمانی که بدافزار یک سیستمی که کاربر آن دارای امتیازات مدیریتی است را آلوده می کند، بدافزار با استفاده از تکنولوژی مدیریت ویندوز یا ابزار کنترل از راه دور PsExec خود را منتشر می کند.
برای جلوگیری از انتشار تروجان ها به شبکه ها ( به ویژه در سیستم های حیاتی سازمان) می بایستی:
- سیستم هایی که به اتصال اینترنت فعال در یک بخش مجزا نیاز دارند را جدا کنید.
- شبکه های باقی مانده را در ساب نت ها یا ساب نت های حقیقی را با اتصالات محدود از هم جدا کنید، تنها اتصالاتی که به فرآیند های تکنولوژی نیاز دارند.
- اطمینان حاصل کنید که آپدیت های مهم ویندوز را انجام داده اید. در این حمله آپدیت بیش از حد اهمیت دارد. MS17-010 closes آسیب پذیری است که توسط EternalBlue و EternalRomance اکسپلویت می شود.
- سرورهای بک آپ را از دیگر سرورها جدا کنید و از اتصال از راه دور درایوها در سرورهای پشتیبان ( بک آپ) خودداری کنید.
- مانع اجرای فایل هایی با نام perfc.dat شوید. شما می توانید با استفاده از اپلیکیشن هایی که مانع باز شدن چنین فایل هایی می شوند، همانند ویژگی کنترل در راهکار امنیتی اند پوینت کسپرسکی برای بیزینس ها یا ابزار AppLocker system در ویندوز، استفاده نمایید.
- برای زیرساخت های خود از راهکارهایی همانند Kaspersky Embedded Security Systems استفاده کنید.
- حالت پیش فرض Deny mode را به عنوان یک محافظت اضافی در سیستم هایی که امکان پذیر است، فعال کنید.
مثل همیشه، ما مصرانه توصیه می کنیم از یک راهکار امنیتی چند لایه، که شامل ویژگی آپدیت خودکار ( مخصوصا برای سیستم عامل)، ویژگی آنتی باج افزار و البته یک جزئی است که بر تمام فعالیت های سیستم عامل نظارت دارد، استفاده کنید.
باج را بپردازیم یا نپردازیم؟
در نهایت اگرچه ما همیشه به کاربران و قربانیان توصیه می کنیم که هیچ مبلغی را برای باج به مجرمان نپردازند، اما گاهی اوقات متوجه می شویم که برخی از شرکت ها در زمان حمله احساس می کنند که هیچ راهی برای انتخاب ندارند. در هر صورت اگر اطلاعات شما توسط باج افزار جدید ExPetr قفل و تحت تاثیر قرار گرفته است، به هیچ وجه نباید به مجرمان باج پرداخت کنید.
کارشناسان ما دریافته اند که این بدافزار هیچ مکانیزمی برای ذخیره ی شناسه ی نصب (installation ID) ندارد. بدون این شناسه، افراد مورد تهدید نمی توانند اطلاعات ضروری مورد نیاز برای رمزگشایی را استخراج کنند. ساده تر بخواهیم توضیح دهیم، آن ها به سادگی قادر به کمک برای بازیابی فایل های قربانیان نخواهند بود.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.