بازگشت باجافزار قدیمی با ترفندی جدید/ لزوم فعالسازی نسخه پشتیبان
مرکز مدیریت راهبردی افتای ریاست جمهوری از بازگشت نسخه جدید باج افزار «پارادایس» که در سال ۲۰۱۷ فعال بود از طریق ایمیل های جعلی (فیشینگ) خبر داد.
به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، نسخه جدید باجافزار Paradise که تقریباً از سال ۲۰۱۷ فعال بوده، از طریق ایمیلهای فیشینگ منتشر میشود و به دلیل بهکارگیری فایلی غیرمتداول به سیستمها و شبکهها رخنه میکند و محققان بر این باورند که این بدافزار، در حال هدف قراردادن سازمان ها است.
فایلی که باجافزار Paradise منتشر میکند در ظاهر بیخطر است؛ این تکنیک به کار گرفته شده سبب می شود که بسیاری از محصولات امنیتی روی سیستم های تحت ویندوز، این فایل را حتی بهعنوان بالقوه مخرب شناسایی نمیکنند.
پیوست ایمیلهای فیشینگ ارسالی در کارزار جدید، فایلی با پسوند IQY است. فایلهای Internet Query با پسوند IQY حاوی متنی ساده و در ظاهر فاقد هرگونه عملکرد مخرب هستند. نقش این فایل در کارزار جدید Paradise دریافت فایل مخرب مورد نظر مهاجمان است.
آنچه که این کارزارهای هرزنامهای را بسیار خطرناک میکند، عدم بررسی فایلهای IQY توسط بسیاری از محصولات امنیتی و سازوکارهای بررسی خودکار است.
در این باره پایگاه اینترنتی ZDNet نوشت: محققان Lastline که این کارزار را شناسایی کردهاند میگویند مهاجمان Paradise در حال هدف قرار دادن سازمانها هستند. گردانندگان باجافزار همچنان در حال هدف قرار دادن سازمانها در سرتاسر جهان و موفقیت در اخاذی صدها هزار دلار با ارز رمزهایی همچون بیتکوین هستند.
در این ایمیلهای فیشینگ با ظاهری تجاری تلاش شده تا کاربر متقاعد به باز کردن فایل IQY پیوست شود. در صورتی که کاربر ناآگاه اقدام به اجرای پیوست کند، فایل IQY به سرور فرماندهی (C۲) متصل شده و در ادامه با اجرای یک فرمان مبتنی بر PowerShell منجر به نصب باجافزار روی سیستم میشود.
بهمحض رمزگذاری شدن فایلها، با نمایش یک اطلاعیه باجگیری (Ransom Note ) از کاربر خواسته میشود تا در ازای آنچه که این مهاجمان بازگرداندن دسترسیها به حالت اولیه میخوانند، مبلغ اخاذی شده را از طریق ارز رمز (Cryptocurrecny ) پرداخت کند.
نویسندگان بدافزار معمولاً در مراحلی از توسعه بدافزار، آن را توزیع میکنند تا نحوه شناسایی آنها توسط محصولات و راهکارهای امنیتی را ارزیابی کنند.
محققان، پیشتر موفق به ساخت ابزاری شده بودند که قربانیان Paradise را قادر به رمزگشایی رایگان فایلهای رمز شده توسط این باجافزار میکرد. اجرای این کارزار جدید از عقب ننشستن مهاجمان Paradise حکایت دارد.
کارشناسان معاونت بررسی مرکز افتا میگویند: یکی از اصلیترین راهکارها در برابر این تبهکاران سایبری، تهیه مستمر نسخه پشتیبان از سیستمها است تا در صورت بروز آلودگی به باجافزار، امکان باز گرداندن فایلها به حالت اولیه فراهم باشد.
همچنین برای جلوگیری از مورد بهرهجویی قرار گرفتن آسیبپذیریهای موجود در سیستمهای عامل و نرمافزارهای مورد استفاده، کاربران باید از نصب مستمر اصلاحیههای امنیتی روی دستگاهها اطمینان حاصل کنند تا از گزند این بدافزارهای مخرب در امان بمانند.