گزارشات اخیر خبر از فعالیت یک باج افزار خطرناک ایرانی را میدهد که به صورت نرم افزار تغییر آی پی سایفون در کشور در حال گسترش است و با زبان فارسی از کاربران در ازای حذف نشدن اطلاعاتشان باج گیری میکند.

به گزارش مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای - CERTCC) باج‌افزار جدیدی در کشور منتشر شده که احتمال آلوده شدن کامپیوتر کاربران به آن بسیار زیاد است. این باج‌افزار Tyrant نام دارد و اولین بار در تاریخ 24 مهر 96 توسط محقق امنیتی شرکت جی دیتا مشاهده شد. تایرنت در پوشش نرم‌افزار تغییر آی‌پی سایفون سعی در فریب کاربران به‌منظور نصب آن را دارد و بعد از نصب، از کاربر باج‌گیری می‌کند.

همانطور که در تصاویر زیر مشاهده می‌کنید، تایرنت به زبان فارسی پیغامی مبنی بر آاوده شدن سیستم کاربر می دهد و کاربر را مجبور به پرداخت مبلغی بابت رفع این مشکل میکند که در ادامه عملکرد این باج افزار را دقیقتر مورد بررسی قرار میدهیم.

 

باج افزار تایرنت

 

باج افزار تایرنت

 

این بدافزار ابتدا دسترسی کاربر را از سیستم قطع و سپس اقدام به رمزگذاری فایل‌های وی می‌کند، در نهایت به ازای پرداخت ۱۵ دلار نهایتاً تا ۲۴ ساعت آینده به کاربر مهلت می‌دهد. این باج‌افزار دو درگاه exchanging.ir و webmoney724.ir را برای پرداخت باج به کاربران پیشنهاد می‌دهد. علاوه بر این، تایرنت دو راه ارتباطی ایمیل و آی‌دی تلگرام را در دسترس کاربران قرار داده است. البته این نکته را نباید نادیده گرفت که تابستان سال گذشته گروهی موسوم به Rocket Kittens با استفاده از یک آسیب‌پذیری توانستند به ارتباط بین آی‌دی کاربران تلگرام و شماره‌های آن‌ها دست یابند که این کار پیدا کردن شماره با داشتن آی‌دی تلگرام را میسر میکند.

این باج افزار مبتنی بر باج‌‌افزار DUMB است که پیش‌تر کاربران ترک‌زبان را هدف قرار داده بود که نسخه اولیه این باج افزار با اشکالاتی رو به رو بود و فایل رمزگذاری شده، به‌صورت خودکار بعد از بسته شدن صفحه باج افزار کدگشایی می‌شد. باج‌افزار تایرنت مبتنی بر سیستم‌عامل‌ ویندوز است و تقریبا نیمی از آنتی‌ویروس‌ها قادر به شناسایی آن هستند.

مرکز ماهر گزارشاتی مبنی بر ضعیف بودن کدگذاری این باج‌افزار منتشر کرده است. این مرکز در خصوص تایرنت گفت:

بر اساس بررسی‌های اولیه متوجه شدیم که این نسخه‌‌ مقدمه‌ای برای یک حمله‌ی بزرگ است؛ چراکه این نسخه از ضعف‌هایی مثل رمزگذاری ضعیف، عدم موفقیت در رمزگذاری فایل‌های کاربر و موفق نبودن عملکرد آن پس از ریبوت سیستم توسط کاربر برخوردار است. با این وجود به نظر نمی‌رسد که تاکنون از محل این باج‌افزار خسارت قابل توجهی ایجاد شده باشد.

بر اساس گزارش مرکز ماهر، با توجه به ماهیت حمله، استفاده از دیگر روش‌های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت‌نشده نیز محتمل است. امروزه استفاده از اتصالات RDP افزایش یافته که خطر نصب باج‌افزار در سیستم کاربران را به دنبال دارد؛ از این‌رو بسیاری از باج‌افزارها از ارتباط RDP برای آلوده کردن سیستم کاربران استفاده می‌کنند.

 

روش های جلوگیری از حملات باج افزار ایرانی تایرنت

 

از دریافت فایل‌های اجرایی در شبکه‌های اجتماعی و اجرای فایل‌های ناشناخته و مشکوک پرهیز کنید.

از دانلود و اجرای فایل‌های پیوست ایمیل‌های ناشناس و هرزنامه‌ها خودداری کنید.

دقت ویژه در به‌روزرسانی دائم سیستم عامل و آنتی ویروس داشته باشید.

از دسترسی راه دور حدالامکان پرهیز کنید و تمهیدات امنیتی در صورت دسترسی راه دور  را به صورت دقیق رعایت کنید.

از مجوز دسترسی Administrator برای سایر کاربران سازمان استفاده نکنید.

منتشر شده در اخبار فناوری اطﻼعات

 باج افزار جدید این روزهای دنیای الکترونیک که به سیستم های بهداشتی و درمانی، دانشگاهی و ارتباطی سراسر دنیا حمله کرده قربانیان بیشماری را در دنیا مورد حمله قرار داده است.

نام این باج افزار جدید wanacrypto است و بر اساس گزارش های یک شرکت تولیدکننده نرم افزار؛ بیش از 59 هزار حمله در 99 کشور اعلام شده است، کشورهایی از جمله روسیه و اوکراین جزء اولین قربانیان این باج افزار خطرناک بوده اند. اخیرا کشور چین و انگلستان هم از آلوده شدن سیستم های مدارس و دانشگاه های خود به این باج افزار خبر داده اند.

 

تصویری از باج افزار جدید wanacrypto

 

باج افزار (Ransomwares) یک نوع از بدافزارها به شمار می آید که با رمزنگاری فایل های سیستم قربانی، وی را مجبور به پرداخت هزینه های گزاف می کند و تنها در صورتی که مبلغ درخواستی را پرداخت کنید میتوانید به اطلاعات خود دسترسی پیدا کنید.

گاها گزارش هایی مبنی بر عدم بازیابی اطلاعات ضمن پرداخت هزینه نیز مشاهده شده است. به دلیل وجود فناوری بسیار پیشرفته باج افزار امکان بازیابی اطلاعات وجود ندارد و یا کار بسیار دشواری است و در حال حاضر تنها راه رسیدن به اطلاعات، پرداخت هزینه درخواستی می باشد.

باج افزار جدید wanacrypto در ازای بازیابی اطلاعات قربانی خود مبلغی در حدود 300 دلار با واحد پولی بیت کوین درخواست کرده است و پاک شدن اطلاعات در صورت عدم پرداخت هزینه را به قربانیان خود هشدار داده است.

 

درخواست 330دلار با واحد پولی بیت کوین توسط باج افزار از قربانی خود

 

باج افزار چگونه به سیستم قربانی نفوذ می کند؟

از شایع ترین روش های نفوذ باج افزار به سیستم قربانی استفاده از مهندسی اجتماعی است. در این روش هکر با فریب دادن قربانی به سادگی باج افزار را وارد سیستم کامپیوتری میکند و به سرعت اطلاعات شما را رمزنگاری کرده و دسترسی به اطلاعات را از شما می گیرد و تنها در صورت پرداخت هزینه اطلاعات را به شما باز میگرداند.

به عنوان مثال باز کردن یک ایمیل آلوده و یا کلیک بر روی فایل های ناشناس آلوده ای با پسوند docx ، .pptx. به راحتی راه نفوذ به سیستم قربانی را باز کرده و اطلاعات را قفل می کند.

خبرها حاکی از نفوذ این باج افزار جدید به کشور ایران هم رسیده است و مقامات کشورهای قربانی همچنان در پی یافتن روشی برای حل این مشکل هستند.

 

روش های جلوگیری از نفوذ باج افزار جدید wanacrypto چیست؟

اطلاعات مالی از جمله اطلاعات مهمی هستند که نگهداری از آنها از حملات مخرب کار بسیار مهمی است که دارندگان نرم افزار حسابداری باید به آن دقت نمایند، بنابراین روش های زیر میتوانند برای نگهداری و جلوگیری از نفوذ باج افزار بسیار مفید باشند.

 

1. از اطلاعات مهم خود به صورت دوره ای نسخه پشتیبان تهیه کنید و آنها را در فضاهای دیگری غیر از سیستم خود مانند DVD ، هارد اکسترنال، فلش USB و یا سرویس های ابری نگهداری کنید.

2. آنتی ویروس، نرم افزارهای کاربردی و سیستم عامل خود را به صورت آپدیت در اختیار داشته باشید.

3. در صورت دریافت ایمیل از افراد ناشناس از کلیک بر روی آن خودداری کنید و آنها را باز نکنید.

4. پسوند فایل های دریافتی را قبل از باز کردن چک کنید. میتوانید با استفاده از تنظیمات ویندوز؛ پسوند فایل ها را در صورت دریافت فایل مشاهده نمایید.

5. سایت های آلوده نیز باعث نفوذ باج افزار wanacrypto و دیگر باج افزارهای مخرب به سیستم شده و سیستم عامل را آلوده می کنند.

 

روش های جلوگیری از نفوذ باج افزار

 

هشدار: باج افزارها توانایی رمزنگاری نسخه پشتیبان اطلاعات شما را در صورتی که از طریق شبکه قابل دستیابی باشند نیز دارند بنابراین این نسخه را در جای امنی قرار بدهید.

واحد IT شرکت فناوری اطلاعات پارمیس در خصوص این ویروس جدید و احتمال حملات آن به فایل های مهم کاربران ایرانی، هشدار داد و گفت : جهت جلوگیری از حمله این گونه ویروس ها از کاربران گرامی خواهشمندیم که Firewall سیستم خود را تنظیم و فعال نمایند و از آنتی ویروس، که روش بسیار مناسبی برای محافظت از اطلاعات و فایل های شخصی می باشد استفاده نمایند.

منتشر شده در اخبار فناوری اطﻼعات

این روزها گزارشاتی از حملات بدافزارهایی به نام باجگیر روی سیستم های کاربران مشاهده شده که تمامی اطلاعات سیستم کاربران از جمله اطلاعات نرم افزار های مالی را رمز گذاری نموده و امکان استفاده از آنها را عملا از کاربران میگیرد.

چگونه از اطلاعات مالی نرم افزار حسابداری در برابر حمله ویروس های باج افزار جلوگیری کنیم؟

متاسفانه برخی از کاربران پارمیس که دارای آنتی ویروس نبوده و فایل پشتیبان روی حافظه های جانبی مانند فلش، CD/DVD نداشته اند، اطلاعات همه سال های مالی خود را از دست داده اند. این اتفاق می تواند خسارت های بزرگی به کاربران قربانی وارد نماید. واحد پشتیبانی پارمیس بر اساس رسالت خود این موضوع را قبلا به اطلاع کاربران رسانیده اما با توجه به رخداد های جدید دوباره بر آن شدیم تا یادآوری مجدد نماییم.
توجه: لطفا در اولین فرصت نسبت به نصب یا آپدیت آنتی ویروس خود اقدام و سپس اقدام به پشتیبان گیری دوره ای روی حافظه های جانبی مانند فلش، CD/DVD نمایید.
باج افزار چیست و چگونه به سیستم قربانی حمله می کند؟
باج افزارها ویروس هایی قدرتمند هستند که از طریق راه های مختلف مانند کلیک بر روی ایمیل های آلوده به تمامی فایل های سیستم قربانی دسترسی کامل پیدا می کنند.
خبرها حاکی از آن است که بسیاری از قربانیان حتی با وجود پرداخت مبالغ هنگفت باج به باجگیر همچنان به فایل های خود دسترسی پیدا نکرده اند. در این بین قربانیانی که اسناد مالی و حسابداری خود را از دست داده اند بسیارند.
باج افزار چیست و چگونه از حمله باج افزار جلوگیری کنیم
قربانی باج افزارها نباشیم
باج افزارها با نفوذ به سیستم قربانیان خود، فایل ها و اسناد مهم از جمله فایل های مالی آنها را رمزگذاری می نمایند و کاربران دیگر نمی توانند به اسناد مالی خود دسترسی داشته باشند. مشتریانی که از نرم افزارهای مالی استفاده می کنند به راحتی می توانند توسط این باج افزارهای خطرناک مورد حمله قرار گرفته و اسناد مالی مهم خود که ممکن است اسناد مالی سال های گذشته نیز باشد را از دست بدهند.
آیا از باج افزارها و اثرهای مخرب آنها آگاه هستید
برای جلوگیری از حمله باج افزارها چه کنیم؟
از دست دادن اطلاعات مالی و عدم دسترسی به آنها یکی از مشکلات مشتریانی است که به واحد پشتیبانی پارمیس پلاس رجوع می کنند. واحد روابط عمومی پارمیس با تحقیق و بررسی در زمینه این باج افزارها و نحوه جلوگیری از حملات آنها ضمن رعایت احتیاط های لازم در این زمینه استفاده از نرم افزار آنتی ویروس به روز و مجاز ESET را پیشنهاد می کنند.
منتشر شده در اخبار

 امروزه ویروس های کامپیوتری شکل های متفاوتی به خود گرفته اند و در زمینه های مختلف برای کاربران مشکلاتی را به وجود آورده اند. یکی از جدیدترین ویروس های در حال توسعه، باج افزارها هستند که کاری به جز اخاذی از قربانیان خود ندارند.

ویروس ها، بدافزارهایی هستند که با کپی کردن خود در کدهای اجرایی، فایل های دیگر را آلوده می کنند و از طریق تکثیر در فایل های دیگر خود را منتشر می کنند؛ بدین ترتیب فایل های آلوده به ویروس های کامپیوتری، ممکن است غیر قابل بازگشت باشند مگر در شرایطی که بتوان به روش هایی مانند استفاده از آنتی ویروس ها آن ها را تا حدودی اصلاح کرد.

باج افزارها نام گونه ای از ویروس ها هستند که با قفل کردن سیستم قربانی و ارسال متن هایی مبنی بر پرداخت پول اجازه، دسترسی به سیستم را به قربانی می دهند.

باج افزارها همانند یک اخاذگر عمل می کنند و روش کار آن ها بدین صورت است که با شناسایی فایل های مهم و شخصی کاربران، آن ها را رمز گذاری می کنند و کاربر دیگر نمی تواند به آن ها دسترسی داشته باشد، پس از این عمل، کاربران با ایمیل ها یا پیام هایی بر روی سیستم خود، با محتوای پرداخت پول برای دسترسی دوباره به فایل های سیستم خود رو‌به‌رو می شوند که به گونه ای عمل اخاذی گری است.

برخی از این باج افزارها با پسوندهایی مانند .Locky، .Xtbl و .Cerber که تاکنون به عنوان باج افزاری فراگیر و خطرناک شناخته شده اند از غفلت کاربران عادی و گاهاً کاربران حرفه ای سوء استفاده می کنند و با روش هایی مثل ارسال پیام بروز رسانی ضروری برای ویندوز و سایر پیام هایی از این دست، کاربر را به کلیک بر روی لینک فعال سازی باج افزار ترغیب می کنند.بنابراین کاربران با خیال اینکه ویندوز یا نرم افزارهای آنان در حال به روز رسانی است به کار خود ادامه می دهند و نمی دانند که در پشت صحنه، باج افزار در حال رمز گذاری سیستم آنان است و پس از قفل کردن همه یا برخی از آن ها دیگر کاربر قادر به دسترسی به فایل های خود نخواهد بود و تنها در صورتی که مبلغ باج را پرداخت کند اجازه دسترسی خواهد داشت.

همان طور که گفته شد باج افزارها از طریق ارسال پیام بروز رسانی ویندوز یا ارسال ایمیل، کاربر را به دام می اندازند و پس از قفل کردن سیستم قربانی شروع به اخاذی می کنند.

حملات این بدافزارها از روسیه آغاز و سپس در اروپا و آمریکا ادامه پیدا کرده است و هم اکنون نیز در آسیا و همچنین ایران در حال گسترش می باشند. نمونه هایی از حملات این بدافزارها در استان های تهران و کرمانشاه گزارش شده است که تنها با کلیک بر روی پنجره پاپ آپ در دام این بدافزار افتاده اند.

راهکارهایی که در این زمینه ارائه شده است عبارت است از :

  • فایل‌های ضمیمه ای که ارسال کننده آن را نمی‌شناسید هرگز باز نکنید.
  • سیستم عامل، نرم‌افزار های ضد ویروس و سایر نرم‌افزار های نصب شده بر روی سیستم تان را همیشه به روز نگه دارید.
  • از فایل های خود نسخه پشتیبان تهیه کنید و آن ها را در یک فضای امن مانند هارد اکسترنال، فلش USB و یا سرویس های ابری ذخیره کنید.
  • در صورت استفاده از نرم افزار های mail server از ویندوز یا لینوکس، امکان anti spam را فعال کنید یا از نرم افزار های مخصوص این کار استفاده کنید.
  • در هنگام اتصال هارد اکسترنال یا فلش USB به کامپیوتر هرگز قبل از scan کردن توسط آنتی ویروس، فایل ها را باز نکنید.

نکته ی قابل توجه این است که قربانیان حتی پس از پرداخت هزینه باج نیز ممکن است دوباره قربانی اخاذی از این باج افزارها شوند.

در واقع این باج افزارها از یکسری سرویس های ویندوز به نفع خود سوء استفاده می کنند که در ذیل به شرح آن می پردازیم.

ویندوز برای افزایش امنیت فایل های کاربران اعم از اطلاعات مهم تا فایل های شخصی و غیره سرویسی را در سیستم عامل خود قرار داده است که به وسیله آن کاربران می توانند فایل های مورد نیاز خود را به نوعی رمز گذاری کنند این عمل به کاربران کمک می کند تا فایل های خود را رمز گذاری کرده و برای آن کلید یا رمز عبور مخصوصی را تعیین کنند تا در صورت لزوم و تنها به وسیله همان کلید دوباره به آن ها دسترسی پیدا کنند.

در واقع عمل Incryption برای برخی مقاصد امنیتی به کار برده می شود که به وسیله آن کاربران می توانند داده های خود را قفل کرده و از آن ها محافظت کنند و در مواقع لزوم دوباره آن ها را بازیابی کنند، امنیت این روش به قدری بالاست که با هیچ برنامه ای نمی توان داده های رمز گذاری شده را بازیابی کرد.

اما این روش، روش نسبتاً مناسبی برای حفاظت از داده های کاربران نیست؛ همچنین کاربران بایستی از اطلاعات و فایل های شخصی خود در فضای اینترنت نیز محافظت کنند. روش پیشنهادی استفاده از آنتی ویروس می باشد که هم اکنون استفاده از آن بسیار فراگیر شده است.

واحد IT شرکت فناوری اطلاعات پارمیس در خصوص این ویروس جدید و احتمال حملات آن به فایل های مهم کاربران ایرانی، هشدار داد و گفت: جهت جلوگیری از حمله این گونه ویروس ها از کاربران گرامی خواهشمندیم که Firewall سیستم خود را تنظیم و فعال نمایند و از آنتی ویروس، که روش بسیار مناسبی برای حافظت از اطلاعات و فایل های شخصی است استفاده نمایند.

کارشناسان واحد IT فناوری اطلاعات پارمیس با تاکید بر نصب و استفاده از آنتی ویروس های مجاز اعلام کردند: اطلاعات مالی کاربران از جمله اطلاعات مهمی هستند که حفاظت از آن ها جزء مفاهیم مهم و اصلی نگهداری، امنیت و حفاظت اطلاعات می باشد؛ بنابراین به کاربران عزیزی که از آنتی ویروس استفاده نمی کنند توصیه می گردد تا هرچه زودتر در جهت خرید و نصب آن و یا نسبت به آپدیت آن اقدام کنند.

همچنین با توجه به گزارشات موجود در رابطه با حملات این ویروس در ایران، لازم است کاربرانی که از نرم افزارهای مالی استفاده می کنند نیز نسبت به نصب و آپدیت آنتی ویروس سیستم خود اقدام کنند.

فناوری اطلاعات پارمیس در جهت ارائه خدمات برتر به کاربران، اقدام به فروش و پشتیبانی از آنتی ویروس شناخته شده و مجاز ESET نموده است. جهت کسب اطلاعات بیشتر در این زمینه با واحد فروش پارمیس تماس حاصل نمایید.

منتشر شده در اخبار
خبرنامه
خبرنامه پارمیس
با عضویت در خبرنامه آخرین اخبار و اطلاعیه های پارمیس را در ایمیل خود دریافت نمایید.

افتخارات پارمیس

جوایز و افتخارات پارمیس