باج افزار CrySis و نفوذ از طریق ایمیل

باج افزار Crysis با استفاده از حفره های امنیتی و اشتباهات کاربران و مدیران شبکه به سیستم نفوذ کرده و اقدام به کد کردن فایل های کاربر می کند. پس از رمزگذاری فایل های پراستفاده کاربر، پسوند btc را به آن ها الصاق می‌کند.
باج افزار Crysis که با نام های Dharma و Wallet نیز شناخته می شود، از جمله بدافزارهایی است که صاحبان آن بانفوذ به سیستم ها از طریق پروتکل RDP اقدام به آلوده سازی آن ها می کنند؛ اما در این نسخه از Crysis، مهاجمان بیشتر با ارسال ایمیل هایی به همراه پیوست/لینک مخرب کاربران را هدف قرار داده اند.
این باج افزار علاوه بر تغییر پسوند فایل رمزگذاری شده نام آن را نیز بر اساس الگوی زیر تغییر می دهد:

[Original File Name].[Original File Extension].-.[writehere@qq.com].btc

برای مثال نام و پسوند فایل test.jpg پس از رمزگذاری شدن به test.jpg.id-B99B0F20.[writehere@qq.com].btc تغییر داده می شود.
فایل اطلاعیه باج گیری این نسخه از باج‌افزار، FILES ENCRYPTED.txt نام دارد. در فایل مذکور از قربانی خواسته می شود تا جهت دریافت دستورالعمل دریافت باج از طریق ایمیل writehere@qq.com با مهاجمان ارتباط برقرار کند.

نکات امنیتی عمومی برای جلوگیری از نفوذ این باج افزار
  حتماً از یک آنتی ویروس اورجینال که به‌طور مرتب به‌روزرسانی می شود، استفاده کنید. وجود یک آنتی ویروس اورجینال و آپدیت شده، امنیتی در حدود 99% را برای شما تأمین می کند و شما می توانید با رعایت کردن مورد زیر امنیت خود را به مرز 99.9% برسانید.
   از ابزار ضد باج افزار رنسام پاد استفاده نمایید. این ابزار به‌تنهایی امکان نفوذ بسیاری از باج افزارها را مسدود می نماید.
  از باز کردن فایل های الصاق شده در ایمیل های مشکوک (حتی فایل های Word) خودداری نمایید.
  به‌طور منظم یک نسخه پشتیبان از تمامی داده های حساس خود تهیه کنید.
  در صورت امکان در نرم افزار ایمیل خود فایل های ضمیمه دارای پسوندهای VBS,JS,JSE,WSH,WSF,HTA را مسدود نمایید تا این ایمیل ها به دست کاربران شما نرسد.
  دقت نمایید که فایروال سیستم عامل شما حتماً فعال بوده و به‌درستی پیکربندی شده باشد.
  تنها در صورتی‌ که به فرستنده اعتماد دارید، بر روی لینک ها و یا پیوست نامه های الکترونیکی کلیک کنید.
  از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.
  از بازدید وب سایت های پرخطر خودداری نموده و پیش از بازدید از وب‌سایت‌های ناشناس، از آلوده نبودن آن ها اطمینان حاصل نمایید.
  به‌طور مرتب، نرم‌افزارهای مورداستفاده خود را به‌روزرسانی کنید.
  از ویندوزهای اورجینال استفاده کنید و یا پچ های امنیتی Microsoft را به‌طور منظم بر روی سیستم های خود نصب کنید.

نکات امنیتی تخصصی برای جلوگیری از نفوذ این باج افزار
علاوه بر نکات امنیتی عمومی فوق، رعایت موارد زیر نیز از طرف مدیران شبکه ها الزامی می باشد:
  با توجه به ساختار و عملکرد این باج افزار مشاهده‌ شده است که پورت RDP - Remote Desktop نیز یکی از حفره های نفوذ این باج افزار است. لذا مدیران شبکه موظف هستند پورت RDP را در سیستم هایی که نیازی به ریموت دسکتاپ نیست غیرفعال کنند. در سیستم‌هایی که RDP مورداستفاده قرار می گیرد باید پورت آن را از 3389 به پورت دیگر غیرقابل حدس زدنی ترجیحاً 5 رقمی تغییر دهید.
برای تغییر پورت RDP از مسیر زیر در رجیستری متغیر Port Number را تغییر دهید و سیستم را ریست کنید. ازاین‌پس با وارد کردن IP:Port در ریموت دسکتاپ می توانید به سیستم خود متصل شوید.

HKEY_LOCAL_MACHINE---System---CurrentConrolSet---Control---TerminalServer---WinStations---RDP-Tcp

  همچنین استفاده از رمزهای قوی شامل حروف کوچک و بزرگ و اعداد و کاراکترهای خاص برای اکانت های Admin و اکانت های ریموت دسکتاپ الزامی است.
  نصب آخرین پچ های امنیتی مایکروسافت برای ویندوز و استفاده از دیوار آتش ویندوز به‌صورت کانفیگ شده و فاقد قوانین عمومی و باز نیز برای مقابله با نفوذ این گونه باج افزارها الزامی می باشد.
  سیستم هایی که از بانک اطلاعاتی SQL استفاده می کنند از پورت 1433 و 1434 برای سرویس دهی استفاده می‌کنند. در صورت باز کردن این پورت ها در فایروال ویندوز باید دقت شود رنج IP امن حتماً در فایروال تعریف شود تا تنها سیستم های مشخصی به این پورت ها دسترسی داشته باشند. در صورت امکان بهتر است از شرکت پشتیبانی بانک اطلاعاتی SQL شما پورت های پیش فرض 1433 و 1434 را به شماره های غیرقابل حدسی تغییر دهد.
می توانید برای مشاوره امنیتی بیشتر در موارد فوق با واحد فنی شرکت پیشگامان کی پاد تماس حاصل فرمایید.