باج افزارها و رمزگذاری دیسک سخت

باج افزارها و  رمزگذاری دیسک سخت

باج افزارها و رمزگذاری دیسک سخت

باج افزاری با عنوان Mamba برخلاف باج افزارهای رایج که اقدام به رمز کردن فایل های کاربر می کنند، دیسک سخت قربانی را رمزگذاری می کند. این باج افزار که توسط شرکت Morphus Labs شناسایی‌شده از طریق ایمیل های فیشینگ (Phishing) منتشر می‌شود. به‌محض آلوده نمودن دستگاه، بخش Master Boot Record (به‌اختصار MBR) دستگاه را با یک نسخه دستکاری‌شده جایگزین کرده و سپس اقدام به رمزنگاری دیسک سخت می کند.
پس‌ از آن، بالا آوردن دستگاه تنها با واردکردن گذرواژه ای که در حقیقت همان کلید رمزگشایی دیسک سخت رمز شده است امکان‌پذیر خواهد بود. در پیام نمایش داده شده از کاربر خواسته می شود که برای دریافت کلید مبلغ یک بیت کوین را پرداخت کند. همچنین در پیام، یک شناسه اختصاصی برای دستگاه آلوده شده و یک نشانی ایمیل برای ارسال درخواست کلید درج شده است.
Mamba را می توان گونه جدیدی از باج افزارهایی دانست که در لایه دیسک سخت اقدام به رمزنگاری اطلاعات می کنند.
باج افزاری به نام Petya نیز اقدام به رمزگذاری بخش MBR دیسک سخت می‌کند. Petya ابتدا بخش MBR را بازنویسی می‌کند و سپس با ایجاد یک خطای سیستم عامل حاد، سیستم عامل را وادار به راه اندازی مجدد (Reboot) می‌کند. با راه‌اندازی مجدد کامپیوتر، MBR جعلی اقدام به اجرای دروغین برنامه CHKDSK (برای عیب‌یابی دیسک سخت) کرده و در مدت نمایش دروغین عیب یابی دیسک، باج افزار فایلی به نام MFT یا Master File Table را رمزنگاری می کند.
انتشار Mamba نشان‌دهنده تغییر مداوم روش های مورداستفاده نویسندگان باج افزار است. بنابراین برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:

  از ضدویروس قدرتمند و به‌ روز استفاده کنید. فایل مخرب مورداشاره Morphus Labs توسط ضدویروس های McAfee و Bitdefender به ترتیب با نام‌های Ransom-O و Trojan.GenericKD.3516147 شناسایی می گردد.
  از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه به‌عنوان پشتیبان). فایل ها باید بر روی دو رسانه ذخیره سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  با توجه به انتشار بخش قابل‌توجهی از باج افزارها از طریق فایل های نرم‌افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیرفعال کنید.
  در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهرشده و از کاربر می خواهد برای استفاده از کدهای به کار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به‌ صرف نظر کردن از فایل های مشکوک و باز نکردن آن ها می تواند نقشی مؤثر در پیشگیری از اجراشدن این فایل ها داشته باشد.
  ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید.
  سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
  از نرم افزارهای ضد باج افزار استفاده نمایید.