یک کمپین بسیار عظیم و مخرب پستهای الکترونیکی که بر پایه باتنت Necurs است در حال پخش کردن یک باجگیر افزار جدید با سرعت ۵ میلیون پست الکترونیک در ساعت است و بسیاری از کامپیوترها را در سراسر جهان مورد حمله قرار داده است.
این باجگیر افزار که Jaff نامگذاری شده است، نوعی جدید از باجگیر افزارهای رمز کننده فایلهاست که از بسیاری جهات شبیه به باجگیر افزار Locky است[۱]، اما میزان پولی که درخواست میکند برابر با ۱٫۷۹ بیت کوین یا تقریباً ۳۱۵۰ دلار است که این میزان بالاتر از رقم درخواستی باجگیر افزار Locky برای باز کردن فایلهای رمز شده بر روی سیستم آلوده است.
بر طبق گزارش محققان امنیتی Forcepoint Security Lab، باجگیر افزار Jaff به زبان برنامهنویسی C نوشته شده است و به کمک باتنت Necurs در حال گسترده شدن است که این باتنت در حال حاضر بر روی ۶ میلیون کامپیوتر آلوده شده در سراسر جهان کنترل دارد.
وبسایت Malwarebytes مینویسد[۲]: “باتنت Necurs به میلیونها کاربر پستهای الکترونیکی حاوی یک پرونده ضمیمه شده از نوع PFD ارسال میکند که اگر کاربران بر روی آن کلیک کنند یک فایل word باز شده که دارای یک اسکریپیت ماکروی مخرب[۳] است که ازآنجهت دانلود کردن و اجرای باجگیر افزار Jaff استفاده میشود.”
باجگیر افزار Jaff با سرعت ۵ میلیون در ساعت در حال گسترده شدن است.
این کمپینِ پست الکترونیک مخرب در روز پنجشنبه (۱۱ می ۲۰۱۷) ساعت ۹ صبح شروع شده و در ساعت ۱ بعدازظهر به اوج خودش رسیده بود. در این بازه این سیستم ۱۳ میلیون پست الکترونیک ارسال شده را ثبت کرده است که نرخ بسیار بالایی است.
Forcepoint میگوید[۴]: “Jaff بیش از ۴۲۳ پسوندِ فایل را مورد هدف قرار داده است. این باجگیر افزار قابلیت این را دارد که بهصورت آفلاین و بدون اینکه به یک سرور فرمان و کنترل متصل باشد عملیات رمزنگاری را انجام دهد. هنگامیکه یک فایل رمزنگاری شود، پسوند ‘.jaff’ ظاهر میشود.”
در مرحله بعدی این باجگیر افزار یک یادداشت باجخواهی بر روی هر فولدرِ آلوده شده قرار میدهد و این در حالی است که تصویر دسکتاپ کامپیوتر آلوده شده نیز جایگزین میشود.
این یادداشت باجخواهی به قربانیان میگوید که فایلهای آنها رمزنگاریشده است اما از آنها درخواست پرداخت هیچگونه مبلغی را نمیکند بلکه به آنها اصرار میکند تا یک پورتال پرداخت را در یک وبسایت که در Tor قرار دارد مشاهده کنند که از طریق مرورگر Tor قابلدسترسی است و در آن نحوه رمزگشایی فایلهای آنها آمده است.
هنگامیکه فرد قربانی مرورگر Tor را نصب میکند و سایت موردنظر را مشاهده میکند، در آنجاست که از فرد قربانی درخواست میشود تا مبلغ ۱٫۷۹ بیت کوین یا تقریباً ۳۱۵۰ دلار را پرداخت کند.
یک تحقیق مجزا که توسط محققان Proofpoint انجام شده است نشان میدهد این احتمال وجود دارد که باجگیر افزار Jaff برای گروه مجرمان سایبری باشد که در پشت Locky ،Dridex و Bart قرار دارند.
این شرکت امنیتی میگوید که کمپین باجگیر افزار Raff بر روی کاربرانی در سراسر جهان تأثیرگذار گذاشته است و سازمانهای قربانی این باجگیر افزار در درجه اول در کشورهای انگلستان، آمریکا، ایرلند، بلژیک، ایتالیا، آلمان، هلند، فرانسه، مکزیک و استرالیا قرار دارند.
چگونه از خود در برابر باجگیر افزار Jaff محافظت کنیم؟
برای محافظت شدن در برابر حملات اینچنین باجگیر افزارهایی، شما باید همیشه نسبت به پروندههای الکترونیکی ناخواسته که از طریق پست الکترونیک برای شما ارسال میشود مشکوک باشید و هیچگاه بر روی لینکهای قرار داده شده درون این پروندهها کلیک نکنید مگر آنکه از منبع آن مطمئن باشید.
بررسی کنید که گزینه Macro در برنامه مایکروسافت آفیس غیرفعال باشد. اگر اینطور نبود، این گزینه را در برنامه آفیس غیرفعال کنید. در سازمانهای بزرگ، مدیر سیستم میتواند تنظیمات پیشفرضی برای macroهای تمامی سیستمها قرار دهد.
برای نگهداری از فایلها و پروندههای الکترونیکی بسیار مهم خود بهطور منظم و در یک فضای مجزا از آنها پشتیبان تهیه کنید که این فضا همیشه به سیستم شما متصل نباشد.
علاوه بر این، از نصب بودن و بهروز بودن یک آنتیویروس خوب بر روی سیستم خود اطمینان حاصل کنید و مهمتر از همه این مطالب، همیشه در بازدید از وبسایتهای مختلف در اینترنت جنبه احتیاط را رعایت کنید.
منابع
[۱] http://thehackernews.com/2016/02/locky-ransomware-decrypt.html
[۲]https://blog.malwarebytes.com/cybercrime/2017/05/new-jaff-ransomware-via-necurs-asks-for-2-btc
[۳] http://thehackernews.com/2016/03/macro-malware-protection.html
[۴] https://blogs.forcepoint.com/security-labs/jaff-enters-ransomware-scene-locky-style
[۵] http://thehackernews.com/2017/05/decrypt-jaff-ransomware-files.html
ثبت ديدگاه