شیوع باج گیر جدید در فضای سایبری کشور
مرکز ماهر از انتشار نوع جدیدی از بد افزار باج گیر در فضای سایبری کشور خبر داد که هدف اصلی آن کاربران فارسی زبان می باشد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در بررسی های خود به این باج افزار برخورد کرده است که موسوم به TYRANT بوده و با الهام از باج افزار متن بازی که در فضای سایبری منتشر شده ساخته شده است. صفحه باج خواهی به زبان فارسی طراحی شده که طبیعتا هدف اصلی آن کاربران فارسی زبان می باشد.
این باج افزار در محیط سیستم عامل های ویندوزی عمل می کند وتا این لحظه تقریبا تنها نیمی از آنتی ویروس های معتبر، قادر به شناسایی این بدافزار بوده اند.
این باج افزار با قفل گذاری بر روی فایل های قربانی و رمزکردن فایل های سیستمی اقدام به مطالبه ۱۵ دلار به شکل ارز الکترونیکی از بستر غیر قابل پیگیری تلگرام (@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج استفاده می کند.
روش انتشار این باج افزار، استفاده از پوشش فیلتر شکن سایفون می باشد و از طریق شبکه های اجتماعی با فریب دادن کاربران، آنها را تشویق به دریافت و اجرای فایل اجرایی با ظاهر سایفون می کند که در حقیقت حاوی بد افزار است.
البته با توجه به ماهیت حمله، استفاده از دیگر روش های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت نشده نیز محتمل است.
روش انتقال پول که این باج افزار از آن استفاده می کند، Web money است و سازنده باج افزار، مدت ۲۴ ساعت فرصت برای پرداخت مبلغ باج در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب سایت های فارسی ارائه کننده این نوع ارز الکترونیکی توسط باج افزار معرفی می شوند.
تحلیل های اولیه نشان می دهد که احتمالا این اولین نسخه یا نسخه آزمایشی از یک حمله بزرگتر است چرا که با وجود مشاهده شدن کد های مربوط به رمزگذاری فایل ها، گاهی باج افزارها موفق به رمزگذاری فایل های قربانی نمی شوند و از آن مهمتر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریستارت کردن سیستم نمی شود. با این وجود به نظر نمی رسد که تاکنون از محل این باج افزار خسارت قابل توجه ای ایجاد شده باشد.
راهکار های پیشگیری
- از دریافت فایلهای اجرایی در شبکه های اجتماعی و اجرای فایلهای ناشناخته و مشکوک پرهیز شود.
- از دانلود و اجرای فایل های پیوست ایمیل های ناشناس و هرزنامه ها خودداری شود.
- دقت ویژه در به روز رسانی دایم سیستم عامل و آنتی ویروس انجام شود
- دقت ویژه در پرهیز از استفاده از قابلیت دسترسی راه دور و در صورت عدم امکان حذف دسترسی از راه دور و رعایت دقیق تمهیدات امنیتی
- عدم استفاده از مجوز دسترسیAdministrator روی سیستم های کاربران سازمانی