باج افزارها و رمزگذاری دیسک سخت
باج افزاری با عنوان Mamba برخلاف باج افزارهای رایج که اقدام به رمز کردن فایل های کاربر می کنند، دیسک سخت قربانی را رمزگذاری می کند. این باج افزار که توسط شرکت Morphus Labs شناساییشده از طریق ایمیل های فیشینگ (Phishing) منتشر میشود. بهمحض آلوده نمودن دستگاه، بخش Master Boot Record (بهاختصار MBR) دستگاه را با یک نسخه دستکاریشده جایگزین کرده و سپس اقدام به رمزنگاری دیسک سخت می کند.
پس از آن، بالا آوردن دستگاه تنها با واردکردن گذرواژه ای که در حقیقت همان کلید رمزگشایی دیسک سخت رمز شده است امکانپذیر خواهد بود. در پیام نمایش داده شده از کاربر خواسته می شود که برای دریافت کلید مبلغ یک بیت کوین را پرداخت کند. همچنین در پیام، یک شناسه اختصاصی برای دستگاه آلوده شده و یک نشانی ایمیل برای ارسال درخواست کلید درج شده است.
Mamba را می توان گونه جدیدی از باج افزارهایی دانست که در لایه دیسک سخت اقدام به رمزنگاری اطلاعات می کنند.
باج افزاری به نام Petya نیز اقدام به رمزگذاری بخش MBR دیسک سخت میکند. Petya ابتدا بخش MBR را بازنویسی میکند و سپس با ایجاد یک خطای سیستم عامل حاد، سیستم عامل را وادار به راه اندازی مجدد (Reboot) میکند. با راهاندازی مجدد کامپیوتر، MBR جعلی اقدام به اجرای دروغین برنامه CHKDSK (برای عیبیابی دیسک سخت) کرده و در مدت نمایش دروغین عیب یابی دیسک، باج افزار فایلی به نام MFT یا Master File Table را رمزنگاری می کند.
انتشار Mamba نشاندهنده تغییر مداوم روش های مورداستفاده نویسندگان باج افزار است. بنابراین برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:
از ضدویروس قدرتمند و به روز استفاده کنید. فایل مخرب مورداشاره Morphus Labs توسط ضدویروس های McAfee و Bitdefender به ترتیب با نامهای Ransom-O و Trojan.GenericKD.3516147 شناسایی می گردد.
از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بهعنوان پشتیبان). فایل ها باید بر روی دو رسانه ذخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
با توجه به انتشار بخش قابلتوجهی از باج افزارها از طریق فایل های نرمافزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیرفعال کنید.
در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای Macro پیامی ظاهرشده و از کاربر می خواهد برای استفاده از کدهای به کار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آن ها می تواند نقشی مؤثر در پیشگیری از اجراشدن این فایل ها داشته باشد.
ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید.
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
از نرم افزارهای ضد باج افزار استفاده نمایید.