بازگشت باج‌افزار قديمي با ترفندي جديد/ لزوم فعالسازي نسخه پشتيبان

به گزارش خبرگزاري مهر به نقل از مركز مديريت راهبردي افتاي رياست جمهوري، نسخه جديد باج‌افزار Paradise كه تقريباً از سال ۲۰۱۷ فعال بوده، از طريق ايميل‌هاي فيشينگ منتشر مي‌شود و به دليل به‌كارگيري فايلي غيرمتداول به سيستم‌ها و شبكه‌ها رخنه مي‌كند و محققان بر اين باورند كه اين بدافزار، در حال هدف قراردادن سازمان ها است.

فايلي كه باج‌افزار Paradise منتشر مي‌كند در ظاهر بي‌خطر است؛ اين تكنيك به كار گرفته شده سبب مي شود كه بسياري از محصولات امنيتي روي سيستم هاي تحت ويندوز، اين فايل را حتي به‌عنوان بالقوه مخرب شناسايي نمي‌كنند.

پيوست ايميل‌هاي فيشينگ ارسالي در كارزار جديد، فايلي با پسوند IQY است. فايل‌هاي Internet Query با پسوند IQY حاوي متني ساده و در ظاهر فاقد هرگونه عملكرد مخرب هستند. نقش اين فايل در كارزار جديد Paradise دريافت فايل مخرب مورد نظر مهاجمان است.

آنچه كه اين كارزارهاي هرزنامه‌اي را بسيار خطرناك مي‌كند، عدم بررسي فايل‌هاي IQY توسط بسياري از محصولات امنيتي و سازوكارهاي بررسي خودكار است.

در اين باره پايگاه اينترنتي ZDNet نوشت: محققان Lastline كه اين كارزار را شناسايي كرده‌اند مي‌گويند مهاجمان Paradise در حال هدف قرار دادن سازمان‌ها هستند. گردانندگان باج‌افزار همچنان در حال هدف قرار دادن سازمان‌ها در سرتاسر جهان و موفقيت در اخاذي صدها هزار دلار با ارز رمزهايي همچون بيت‌كوين هستند.

در اين ايميل‌هاي فيشينگ با ظاهري تجاري تلاش شده تا كاربر متقاعد به باز كردن فايل IQY پيوست شود. در صورتي كه كاربر ناآگاه اقدام به اجراي پيوست كند، فايل IQY به سرور فرماندهي (C۲) متصل شده و در ادامه با اجراي يك فرمان مبتني بر PowerShell منجر به نصب باج‌افزار روي سيستم مي‌شود.

به‌محض رمزگذاري شدن فايل‌ها، با نمايش يك اطلاعيه باج‌گيري (Ransom Note ) از كاربر خواسته مي‌شود تا در ازاي آنچه كه اين مهاجمان بازگرداندن دسترسي‌ها به حالت اوليه مي‌خوانند، مبلغ اخاذي شده را از طريق ارز رمز (Cryptocurrecny ) پرداخت كند.

نويسندگان بدافزار معمولاً در مراحلي از توسعه بدافزار، آن را توزيع مي‌كنند تا نحوه شناسايي آنها توسط محصولات و راهكارهاي امنيتي را ارزيابي كنند.

محققان، پيش‌تر موفق به ساخت ابزاري شده بودند كه قربانيان Paradise را قادر به رمزگشايي رايگان فايل‌هاي رمز شده توسط اين باج‌افزار مي‌كرد. اجراي اين كارزار جديد از عقب ننشستن مهاجمان Paradise حكايت دارد.

كارشناسان معاونت بررسي مركز افتا مي‌گويند: يكي از اصلي‌ترين راهكارها در برابر اين تبهكاران سايبري، تهيه مستمر نسخه پشتيبان از سيستم‌ها است تا در صورت بروز آلودگي به باج‌افزار، امكان باز گرداندن فايل‌ها به حالت اوليه فراهم باشد.

همچنين براي جلوگيري از مورد بهره‌جويي قرار گرفتن آسيب‌پذيري‌هاي موجود در سيستم‌هاي عامل و نرم‌افزارهاي مورد استفاده، كاربران بايد از نصب مستمر اصلاحيه‌هاي امنيتي روي دستگاه‌ها اطمينان حاصل كنند تا از گزند اين بدافزارهاي مخرب در امان بمانند.