۰
سه شنبه ۷ شهريور ۱۳۹۶ ساعت ۱۶:۴۴

باج افزار Crysis قدرتمندتر از قبل ظاهر می‌شود

ایتنا- این باج‌افزار درایوها و اشتراک گذاری های شبکه را رمزنگاری می‌کند.
باج افزار Crysis قدرتمندتر از قبل ظاهر می‌شود


چند روز گذشته Michael Gillespie متخصص امنیتی باج‌افزارها، نوع جدیدی از باج‌افزارها را که تمامی فایل‌ها را به فرمت .arena در هنگام رمزنگاری داده‌ها تغییر می‌دهد، کشف کرد. دقیقا مشخص نیست که این باج‌افزار چگونه شیوع می‌یابد اما در گذشته از طریق سرویس کنترل از راه دور دسکتاپ و نصب باج‌افزار بر روی سیستم به آلودگی و گسترش می‌پرداخت.


به گزارش ایتنا از کسپرسکی آنلاین، هنگامی که باج‌افزار بر روی سیستم نصب می‌شد، کامپیوتر را برای انواع فایل های خاص اسکن و آنها را رمزنگاری می‌کرد. هنگام رمزنگاری یک فایل فرمت .id-[id].[email].arena به فایل‌ها اضافه می‌شد. به عنوان مثال اگر یک فایل test.jpgنام داشت هنگام رمزنگاری توسط باج‌افزار به  test.jpg.id-BCBEF350.[chivas@aolonline.top].arenaتبدیل می‌شد.

لازم به ذکر است که این باج‌افزار درایوها و اشتراک گذاری های شبکه را نیز رمزنگاری می‌کند. از این رو اطمینان حاصل کردن قفل اشتراک گذاری شبکه و باز کردن دسترسی آن را تنها برای افرادی که واقعا به آن نیاز دارند مهم است.

شما می‌توانید در تصویر زیر نمونه‌ای از فولدر رمزنگاری شده توسط باج‌افزار Crysis را مشاهده کنید.



 
به دلیل اینکه Crysis با اجرای فرمان زیر نسخه‌های Shadow Copy را از روی سیستم حذف می کند، بنابراین نمی توانید از آنها برای بازگردانی فایل‌های رمزنگاری شده خود استفاده کنید. باج‌افزار آنها را با اجرای دستور delete shadows /all /quiet از روی سیستم حذف خواهد کرد.

اما Crysis در طول مدت خرابکاری خود دو یادداشت برای شما به جای می گذارد. یکی از آن ها فایل info.hta است که توسط یک autorun راه‌اندازی شده است.


 
و یادداشت دیگری که از خود برای شما به جای می گذارد FILES ENCRYPTED.txt است.


 
هر دوی این یادداشت‌ها شامل دستورالعمل هایی هستند که برای پرداخت و تماس با ایمیل chivas@aolonline.top برنامه ریزی شده‌اند. و اما در نهایت باج‌افزار خودش را هنگامی که شما به ویندوز وارد می شوید پیکر بندی خواهد کرد. این کار به او این اجازه را می‌دهد که فایل‌هایی را که برای رمزنگاری از زمان آخرین اجرا قلم انداخته است را رمزنگاری کند.

در حال حاضر امکان رمزگشایی فایل‌ها توسط باج افزار Crysis وجود ندارد
متاسفانه در حال حاضر امکان رمزگشایی فایل های .arena که توسط باج‌افزار Crysis رمزنگاری شده است وجود ندارد.

تنها راه بازیابی فایل های رمزنگاری شده از طریق بک آپ است و اگر که شما به طور باورنکردنی خوش شانس هستید می‌توانید از طریق Shadow Volume Copies این کار را انجام دهید. اگرچه Crysis در حمله خود تلاش می‌کند تا نسخه‌های Shadow Volume Copies را حذف کند اما در موارد بسیار نادر قادر به انجام این کار نخواهد بود و این عدم توان می‌تواند برای شما یک خوش شانسی بزرگ را به ارمغان بیاورد.

به همین دلیل اگر که شما نسخه پشتیبان را تهیه نکرده‌اید و به دام این باج‌افزار افتاده‌اید پیشنهاد می‌کنیم که آخرین راه را برای بازگردانی فایل های خود یعنی همان Shadow Volume Copies را امتحان کنید.

چگونه در برابر Crysis و دیگر باج‌افزارها از خود محافظت کنیم؟
برای محافظت در برابر Crysis و دیگر باج‌افزارها مهم است که از یک نرم‌افزار امنیتی مناسب استفاده کنید. مسلم است که هیچ چیز به اندازه استفاده نرم افزار امنیتی نمی تواند از شما و اطلاعات شما محافظت کند. حتی در زمانی که شما نکات امنیتی را حین وب گردی رعایت نمی‌کنید.

اول و مهتر از همه همیشه بایستی یک بک آپ قابل اعتماد و تست شده از تمامی اطلاعات خود داشته باشید. علت تاکید ما برای بک آپ‌گیری به این دلیل است که اگر زمانی شما به یکی از باج افزارها گرفتار شدید می‌توانید به راحتی از کنار آن بگذرید و از بک آپ فایل های مهم و حیاتی خود استفاده کنید و بدون داشتن هیچ دغدغه‌ای آنها را بازگردانی کنید.

شما هچنین باید از یک نرم‌افزار امنیتی مناسب که رفتارهای بدافزارها را تشخیص می‌دهد و قبل از انجام رفتارهای مخرب بر روی سیستم آن را مسدود می کند استفاده کنید.

و اما در آخر اطمینان حاصل کنید که نرم‌افزارهای امنیتی شما به خوبی آپدیت می‌شوند و عملکرد آنها صحیح است. و اما رعایت موارد زیر را فراموش نکنید:
    بک آپ‌گیری یکی از مهم‌ترین، مهم‌ترین و مهم‌ترین فعالیت‌های امنیتی است که هر کاربر باید آن را به طور منظم انجام دهد.
    در صورتیکه فرستنده پیوست‌های ایمیل را نمی‌شناسید به هیچ وجه آنها را باز نکنید. پس از مطمئن شدن از هویت واقعی شخص فرستنده، ایمیل را باز کنید.
    پیوست‌های ایمیل را با ابزارهایی همانند VirusTotal اسکن کنید.
    از آپدیت‌های منظم و به موقع ویندوز خود اطمینان حاصل کنید. همچنین از آپدیت تمامی برنامه‌ها خصوصا جاوا، فلش، آدوب ریدر مطمئن شوید. برنامه‌های قدیمی شامل آسیب پذیری‌های امنیتی هستند که توسط توزیع کنندگان بدافزارها مورد سوء استفاده قرار می‌گیرند. به همین خاطر به‌روز رسانی به موقع آنها حائذ اهمیت است.
    استفاده از نرم افزار امنیتی قابل اعتماد و همچنین قوی را فراموش نکنید.
    از رمز عبورهای سخت برای حساب‌های کاربری خود استفاده کنید و از تکرار رمزعبورهای استفاده شده بپرهیزید.
    اگر از سرویس‌های Remote Desktop استفاده می کنید، آن را مستقیما به اینترنت متصل نکنید. شما می‌توانید هنگام استفاده از آن به منظور امنیت بیشتر از یک VPN استفاده کنید.
شما همچنین می توانید برای حفظ امنیت بیشتر خود از آنتی ویروس رایگان کسپرسکی استفاده نمایید.

 
کد مطلب: 49941
نام شما
آدرس ايميل شما