نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

نسخه جدیدی از باج‌افزار مخرب Locky

نسخه جدیدی از باج‌افزار مخرب Locky


نسخه جدیدی از باج‌افزار مخرب Locky از طریق هرزنامه‌هایی با عنوان Status of invoice در حال انتشار است که پسوند فایل‌های رمزگذاری شده را به ykcol. تغییر می‌دهد.

پیوست این هرزنامه‌ها که فایلی فشرده شده با پسوند 7z است حاوی یک اسکریپت VBS می‌باشد. نقش این اسکریپت دریافت فایل اجرایی Locky از اینترنت و اجرای آن بر روی دستگاه قربانی است.

استفاده از سیستم فشرده سازی 7z در میان ارسال کنندگان هرزنامه و انتشار دهندگان بدافزار متداول نیست. چرا که بازگشایی آن مستلزم وجود نرم‌افزار یا ابزار برای این منظور است که به صورت پیش فرض در سیستم عامل Windows وجود ندارد. احتمالاً گردانندگان این نسخه از Locky بااستفاده از 7z قصد عبور از سد ابزارهای ضدهرزنامه سرویس‌دهندگان ایمیلی همچون Gmail را داشته‌اند.

علاوه بر تغییر پسوند فایل‌های رمزگذاری شده توسط این نسخه از Locky نام این فایل‌ها نیز بر اساس الگوی زیر تغییر داده می‌شود:

[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol

برای مثال نام و پسوند فایلی با نام 1 و با پسوند png. پس از رمزگذاری شدن به E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol تغییر داده می‌شود.

پس از اتمام فرآیند رمزگذاری فایل‌ها، فایل اجرایی دریافت شده از اینترنت از روی دستگاه حذف شده و اطلاعیه باج‌گیری که در آن نحوه پرداخت باج 0.25 بیت‌کوینی شرح داده شده نمایش داده می‌شود.

فایل‌های اطلاعیه باج‌گیری در این نسخه ykcol.htm و ykcol.bmp نام دارند.

متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

لازم به ذکر است نمونه‌هایی از آلودگی به نسخه جدید در داخل کشور نیز به این شرکت گزارش شده است.

برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید. نمونه بررسی شده در این خبر توسط ضدویروس هایMcAfee با نام Ransomware-Cerber شناسایی می‌شود.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده 1-2-3 برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلفنگهداری شوند. یک نسخه از فایل‌ها می‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Officeحاوی ماکروی مخرب ، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه "Disable all macros without notification" غیرفعال کنید.
  • در صورت فعال بودن گزینه "Disable all macros with notification" در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر خواسته می‌شود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.