یک هفته پس از شیوع جهانی باج افزار Wannacry یا Wannacryptor، نوبت به باج افزار دیگری رسید.
باج افزار XData که ESET آن را با عنوان Win32/Filecoder.AESNI.C شناسایی کرده است، تهدیدی بود که با 96 درصد مورد شناسایی شده تا 22 ماه می، در اوکراین شایعتر بوده و روز 19 ماه می اوج حملات آن بود است. ESET کاربران خود را در برابر این تهدید از روز 18 ماه می محافظت کرد.
به هر حال ESET این بدافزار را از تاریخ 18 می ماه زمانی که اولین نسخه Win32/Filecoder.AESNI.A ظاهر شد، شناسایی کرده است. برای نوع AESNI.A برخی از کلیدهای رمزگشایی در حال حاضر در BleepingComputer.com forum منتشر شده است.
براساس تحقیقات ESET، این باج افزار در اکراین از طریق سیستم اتوماسیون اسناد که به طور گسترده در بخش های حسابداری استفاده می شود، گسترش یافته است. از آنجا که نرخ آلودگی هنوز پایین است پی بردن به سناریوی توزیع این بدافزار به صورت احتمالی مستلزم به کار گرفتن روش های مهندسی اجتماعی است، مثلا می تواند از طریق اتصال به یک نرم افزار مخرب به روز رسانی گسترش یابد البته هنوز به طور قطع نمی توان مطمئن بود.
وقتی یک کامپیوتر آلوده می شود، فایل اصلی ابزارهای سیستم اصلی را رها می کند و سپس نمونه ی فایل باج افزار را اجرا می کند.
اگر با دسترسی های مدیر سیستم این فایل اجرا شود، باج افزار می تواند تمام شبکه را آلوده نماید. برای این کار از ابزار Mimikatz برای دسترسی به اطلاعات ادمین استفاده می کند و سپس با استفاده از آنها روی تمامی سیستم های شبکه اجرا می شود.
شاید برایتان جالب باشد که بدانید چرا اسم این تهدید AESNI است، در واقع این نام از پیغام باجی که در ورژن قبلی نمایش داده می شد، گرفته شده است.
علاوه بر این دلیل دیگری پشت این نام گذاری وجود دارد است که، باج افزار بررسی می کند آیا سیستم آلوده از رمزگذاری AES-NI پشتیبانی می کند در این صورت می تواند سریعتر روند رمزگذاری سیستم قربانی را طی نماید.
چطور در برابر این تهدید امن بمانیم ؟
برای این مورد به خصوص، حساب های کاربری جداگانه ادمین و کاربران تا حد زیادی به جلوگیری از خطر کمک می کند زیرا اگر حساب کاربری ای با مشخصات ادمین در حال اجرا باشد، باج افزار XData از پسورد های ادمین سوء استفاده می کند، بدون دسترسی های ادمین این باج افزار تنها قادر به آلوده کردن یک سیستم به جای کل شبکه خواهد بود.
به طور کلی نکاتی در مقابله باج افزارها ذکر می شود :
- استفاده از راه حل امنیتی معتبر با قابلیت حفاظت چندلایه چه برای این تهدید چه برای تهدیدات مشابه آینده
- اطمینان از به روزرسانی و اعمال وصله های سیستم عامل به طور منظم
- فایل پشتیبان تهیه کنید و آن را به صورت آفلاین روی هارد دیسک خارجی نگه دارید که از طریق شبکه قابل دسترسی نباشد.
- به هیچ وجه روی فایل ضمیمه یا لینک های ایمیل های ناخواسته و مشکوک کلیک نکنید.
