تجزیه و تحلیل باجافزار جدید Dharma
توسط
- 2019-08-28 - 09:03 AM (بازدید: 2291)
|
باجافزار دیهارما (Dharma) که همچنین کریسیس (CrySIS) هم نامیده میشود چندین سال تحت نظارت شرکتهای امنیتی بوده است. با توجه به اینکه باجافزار مذکور همچنین در حال فعالیت است لیکن مهاجمان توسعهدهنده این بدافزار تغییرات زیادی برروی این بدافزار اعمال نکردهاند و هنوز از طریق بهرهبرداری از سرویسهای پروتکل RDP رایانهها را آلوده میکند.
مهاجمین توسعهدهنده این بدافزار بستر اینترنت را بصورت مداوم پویش میکنند تا رایانههایی که در حال اجرای سرویس RDP هستند را پیدا کنند. این پویش معمولاً روی پورت 3389 انجام میشود. سپس با حملات جستجوی فراگیر نفوذ به رایانه انجام میشود.
اگر چه در طول هفتههای گذشته نسخه جدیدی از این بدافزار مشاهده شده است که فایلها را با پسوندی جدید از قبیل .XXXX و .LIKE رمزنگاری میکند، ولی به نظر میرسد در مقایسه قبلی این باجافزار در نسخه جدید تغییرات زیادی در سطج کد رخ نداده است و فقط از یک بازگزار متقاوت استفاده میکند.
لازم به ذکر است، اولین نسخه باجافزار مذکور در سال 2006 مشاهده شد و تا به امروز با بروزرسانیهای مرتب به فعالیت خود ادامه داده است. به دلیل تکامل این باجافزار، رمزگشاهایی برای این بدافزار توسط Kaspersky و Eset توسعه داده شده است. متاسفانه، فایلهایی که با نسخه جدید این باجافزار رمزنگاری شدهاند، در حال حاضر هیچ رمزگشایی برای آنها ارائه نشده است.
اگر به قسمت ابزارهای سایت nomoreransom.org مراجعه نمایید، رمزگشا برای نسخههای متفاوت این باجافزار را پیدا خواهید کرد. وبسایت مذکور توسط ائتلافی از شرکتهای امنیتی و سازمانهای اجرای قانون دایر شده و اغلب اطلاعات و ابزار رمزگشایی جدید را منتشر مینماید.
همچنین باجافزار فوقالاشاره درایوهای شبکه نگاشتیافته، درایوهای میزبان ماشین مجازی اشتراکی و شبکههای اشتراکی نگاشت نیافته را نیز رمزگذاری میکند. از این رو دسترسی به شبکههای اشتراکی باید محدود شود. در نهایت این باجافزار به گونهای پیکربندی میشود که هنگام شروع به کار ویندوز به صورت خودکار اجرا شود و فایلهای جدید را رمزگذاری کند.
به هر صورت، این باجافزار پس از تغییر فرمت و رمزگذاری فایل، نام آن را تغییر داده و آدرس ایمیلی در انتهای آن قرار میدهد. قربانی میبایست جهت دریافت دستورالعمل از طریق ایمیل ارتباط برقرار کند.
توصیههای جدی بمنظور پیشگیری از آلودگی به این باجگیر به شرح ذیل است:
- پورت RDP سرورها به هیچ عنوان از طریق بستر اینترنت قابل دسترسی نباشد. حتی اگر پورت مذکور را تغییر دادهاید.
- وضعیت دسترسی به بستر اینترنت کلیه سروها و سامانهها بررسی شود و لیست سروهایی که نیاز به ارتباط با شبکه اینترنت را ندارند از Edge شبکه (فایروال و ...) حذف گردد.
- در صورت نیاز هر گونه سرور و یا سرویس به بستر اینترنت مبتنی بر پروتکل RDP میباست تحت ارتباطات VPN نظیر ارتباط Full Tunnel با استفاده از مکانیرم توکن و گواهی دیجیتال صورت پذیرد.
- قابلیت NLA را حتماً برروی RDP فعال نمایید.
- از فعال بودن Anti-Cryptor محصول KSWS10 اطمینان حاصل نمایید.
- از بروزرسانی و نصب آنتیویروس برروی کلیه سرورها تحت ویندوز و پلتفرم لینوکس اطمینان حاصل نمایید.
- برروی Policy، پسورد مناسب و مطمئن جهت جلوگیری از پاک کردن KSWS، KES10 و Network Agent انتخاب نمایید.
- برروی کلیه سرورها و سامانهها از پسوردهای استاندارد با طول کاراکتر مناسب استفاده نمایید و به صورت دورهای نسبت به تعویض آن اقدام لازم توسط هر بخش مطابق با یک الگوی جامع امنیتی اقدام نمایید.
- سریعاٌ نسبت به فراهم نمودن فرآیند Backup به صورت On-Site و Off-Site و یا به صورتCloud Base - Private اقدام نمایید.
- از نصب هر گونه نرمافزار که در بستر اینترنت به شما جهت پاکسازی باجافزار مذکور پیشنهاد میشود اکیداً خودداری نمایید.
در صورت آلودگی ماشینهای مجازی به این باجافزار فوراً اقدام به Suspend نمودن سرور مربوطه نمایید تا از تخریب بیشتر جلوگیری شود و نسبت به Shut کردن پورت سوئیچ و درنهایت سرور نیز اقدام نمایید.