اخبار و رویدادها اخبار و رویدادها

باج‌افزار جدید" Locky "

 افزار جدیدی که برخی از رفتارهای آن مشابه بدافزار نسبتاً جدید و مشهور Dridex است، در نقاطی از جهان، کاربران زیادی را گرفتار کرده است.

به گزارش شرکت مهندسی شبکه گستر و به نقل از شرکت امنیتی Palo Alto Networks ، بسیاری از قربانیان باج افزار جدید Locky با گشودن یک فایل مخرب Word که در ظاهر یک صورتحساب است و از طریق ایمیل دریافت کرده‌اند، گرفتار شده‌اند.

فایل مخرب Word حاوی فرامین Macro است و چون به طور پیش فرض، اجرای این فرامین در نرم‌افزار Office غیرفعال می‌باشد، برای شروع عملیات مخرب باج افزار Locky ، دخالت کاربر و قبول اجرای فرامین Macro ضروری و لازم است.

با اجرای فرامین Macro ، باج افزار Locky دریافت و بر روی کامپیوتر قربانی فعال می‌گردد. این روش مشابه روش بکار گرفته‌شده در باج افزار Dridex است.

با توجه به روش آلوده‌سازی یکسان و مشابهت در نامگذاری فایل‌های مرتبط با باج افزار، احتمال داده می‌شود که باج افزار جدید Locky نیز ساخته و پرداخته، سازندگان باج افزار Dridex باشد.

باج افزار یا Ransomeware نوعی بدافزار است که فایل‌های موجود بر روی کامپیوتر قربانی خود را رمزگذاری می‌کند تا دیگر قابل دسترس برای کاربر نباشد. سپس از کاربر برای رمزگشایی فایل‌ها درخواست باج می‌شود.

تصویر فوق، صفحه‌ای است که قربانیان Locky برای پرداخت باج به آن هدایت می‌شوند.

طبق آمار و مشاهدات شرکت امنیتی Palo Alto Networks ، باج افزار جدید Locky به صورت گسترده از طریق ارسال انبوه هرزنامه (Spam) منتشرشده است. در روزهای اخیر این شرکت، بیش از ۴۰۰ هزار ارتباط برای دریافت فایل اولیه باج افزار به نام Bartallex که وظیفه دریافت فایل اصلی Locky را برعهده دارد، مشاهده کرده است.

برخلاف باج افزارهای رایج امروزی، باج افزار Locky ابتداً کلید رمزگذاری را از مرکز فرماندهی خود دریافت می‌کند و آن‌را به سادگی در حافظه نگه‌داشته و برای رمزگذاری فایل‌ها از آن استفاده می‌کند. ولی اغلب باج افزارهای امروزی، ابتداً یک کلید رمزگذاری شانسی بر روی کامپیوتر قربانی ایجاد کرده و نسخه رمزگذاری شده‌ای از آن‌را به مرکز فرماندهی خود ارسال می‌کنند. بدین ترتیب به نظر می‌رسد که کشف رمز و به دست اوردن کلید رمزگشایی Locky بسیار آسان‌تر از باج افزارهای دیگر باشد.

تشخیص باج افزار Locky بر روی کامپیوترهای آلوده بسیار آسان است. فایل‌های رمزگذاری شده بر روی کامپیوتر قربانی، همگی دارای پسوند locky. هستند.

برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به روز استفاده کنید.
  • از اطلاعات سازمانی به صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • با توجه به انتشار بخش قابل‌توجهی از باج افزارها از طریق فایل‌های نرم افزار Office حاوی Macro آلوده ، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه "Disable all macros without notification" غیر فعال کنید.
  • در صورت فعال بودن گزینه "Disable all macros with notification" در نرم‌افزار Office ، در زمان باز کردن فایل‌های Macro پیامی ظاهرشده و از کاربر می‌خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجراشدن این فایل‌ها داشته باشد.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی‌شود.
آدرس کوتاه :