View RSS Feed

آرمین رضائی مهر

تجزیه و تحلیل باج‌افزار جدید Dharma

Rating: 15 votes, 1.47 average.
توسط - 2019-08-28 - 09:03 AM (بازدید: 2291)
  
باج‌افزار دی‌هارما (Dharma) که همچنین کریسیس (CrySIS) هم نامیده می‌شود چندین سال تحت نظارت شرکت‌های امنیتی بوده است. با توجه به اینکه باج‌افزار مذکور همچنین در حال فعالیت است لیکن مهاجمان توسعه‌دهنده این بدافزار تغییرات زیادی برروی این بدافزار اعمال نکرده‌اند و هنوز از طریق بهره‌برداری از سرویس‌های پروتکل RDP رایانه‌ها را آلوده می‌کند.
مهاجمین توسعه‌دهنده این بدافزار بستر اینترنت را بصورت مداوم پویش می‌کنند تا رایانه‌هایی که در حال اجرای سرویس RDP هستند را پیدا کنند. این پویش معمولاً روی پورت 3389 انجام می‌شود. سپس با حملات جستجوی فراگیر نفوذ به رایانه انجام می‌شود.
اگر چه در طول هفته‌های گذشته نسخه جدیدی از این بدافزار مشاهده شده است که فایل‌ها را با پسوندی جدید از قبیل .XXXX و .LIKE رمزنگاری می‌کند، ولی به نظر می‌رسد در مقایسه قبلی این باج‌افزار در نسخه جدید تغییرات زیادی در سطج کد رخ نداده است و فقط از یک بازگزار متقاوت استفاده می‌کند.
لازم به ذکر است، اولین نسخه باج‌افزار مذکور در سال 2006 مشاهده شد و تا به امروز با بروزرسانی‌های مرتب به فعالیت خود ادامه داده است. به دلیل تکامل این باج‌افزار، رمزگشاهایی برای این بدافزار توسط Kaspersky و Eset توسعه داده شده است. متاسفانه، فایل‌هایی که با نسخه جدید این باج‌افزار رمزنگاری شده‌اند، در حال حاضر هیچ رمزگشایی برای آن‌ها ارائه نشده است.


اگر به قسمت ابزارهای سایت nomoreransom.org مراجعه نمایید، رمزگشا برای نسخه‌های متفاوت این باج‌افزار را پیدا خواهید کرد. وب‌سایت مذکور توسط ائتلافی از شرکت‌های امنیتی و سازمان‌های اجرای قانون دایر شده و اغلب اطلاعات و ابزار رمزگشایی جدید را منتشر می‌نماید.
همچنین باج‌افزار فوق‌الاشاره درایوهای شبکه نگاشت‌یافته، درایوهای میزبان ماشین مجازی اشتراکی و شبکه‌های اشتراکی نگاشت نیافته را نیز رمزگذاری می‌کند. از این رو دسترسی به شبکه‌های اشتراکی باید محدود شود. در نهایت این باج‌افزار به گونه‌ای پیکربندی می‌شود که هنگام شروع به کار ویندوز به صورت خودکار اجرا شود و فایل‌های جدید را رمزگذاری کند.
به هر صورت، این باج‌افزار پس از تغییر فرمت و رمزگذاری فایل، نام آن را تغییر داده و آدرس ایمیلی در انتهای آن قرار می‎دهد. قربانی می‌بایست جهت دریافت دستورالعمل از طریق ایمیل ارتباط برقرار کند.

توصیه‌های جدی بمنظور پیشگیری از آلودگی به این باج‌گیر به شرح ذیل است:


  • پورت RDP سرورها به هیچ عنوان از طریق بستر اینترنت قابل دسترسی نباشد. حتی اگر پورت مذکور را تغییر داده‌اید.
  • وضعیت دسترسی به بستر اینترنت کلیه سروها و سامانه‌ها بررسی شود و لیست سروهایی که نیاز به ارتباط با شبکه اینترنت را ندارند از Edge شبکه (فایروال و ...) حذف گردد.
  • در صورت نیاز هر گونه سرور و یا سرویس به بستر اینترنت مبتنی بر پروتکل RDP می‌باست تحت ارتباطات VPN نظیر ارتباط Full Tunnel با استفاده از مکانیرم توکن و گواهی دیجیتال صورت پذیرد.
  • قابلیت NLA را حتماً برروی RDP فعال نمایید.
  • از فعال بودن Anti-Cryptor محصول KSWS10 اطمینان حاصل نمایید.
  • از بروزرسانی و نصب آنتی‌ویروس برروی کلیه سرورها تحت ویندوز و پلتفرم لینوکس اطمینان حاصل نمایید.
  • برروی Policy، پسورد مناسب و مطمئن جهت جلوگیری از پاک کردن KSWS، KES10 و Network Agent انتخاب نمایید.
  • برروی کلیه سرورها و سامانه‌ها از پسوردهای استاندارد با طول کاراکتر مناسب استفاده نمایید و به صورت دوره‌ای نسبت به تعویض آن اقدام لازم توسط هر بخش مطابق با یک الگوی جامع امنیتی اقدام نمایید.
  • سریعاٌ نسبت به فراهم نمودن فرآیند Backup به صورت On-Site و Off-Site و یا به صورتCloud Base - Private اقدام نمایید.
  • از نصب هر گونه نرم‌افزار که در بستر اینترنت به شما جهت پاکسازی باج‌افزار مذکور پیشنهاد می‌شود اکیداً خودداری نمایید.

در صورت آلودگی ماشین‌های مجازی به این باج‌افزار فوراً اقدام به Suspend نمودن سرور مربوطه نمایید تا از تخریب بیشتر جلوگیری شود و نسبت به Shut کردن پورت سوئیچ و درنهایت سرور نیز اقدام نمایید.
Hakimi، Meteor، ARM و 2 نفر دیگر سپاسگزاری کرده‌اند.
Attached Thumbnails پیوست

Updated 2019-08-28 at 09:07 AM by EVERAL

دسته ها
دسته بندی نشده

نظر