سازمان فناوری اطلاعات و ارتباطات

ایتنا - باج افزار Rakhni که ما از سال 2013 شاهد آن بوده ایم، ماژول کریپتوکارنسی ماینینگ را به دیگر تهدیدات خود اضافه کرده است.ما به تازگی اعلام کردیم که ماینرها در تلاش هستند تا بتوانند جایگاه باج افزارها را به دست گیرند و در بالاترین رتبه تهدیدات آنلاین قرار گیرند. با توجه به این روند، باج افزار Rakhni که ما از سال 2013 شاهد آن بوده ایم، ماژول کریپتوکارنسی ماینینگ را به دیگر تهدیدات خود اضافه کرده است.
جالب است بدانید که بارگذار کننده این بدافزار قادر است انتخاب کند که بر روی کدامین قسمت دستگاه با توجه به نیاز خود نصب شود. محققان امنیتی ما دریافتند که چگونه این بدافزار کار می کند و چه تهدیداتی را به همراه دارد.

به گزارش سرویس امنیت از کسپرسکی آنلاین، راهکارهای امنیتی ما باج افزار Rakhni را در کشورهای روسیه، قزاقستان، اوکراین، آلمان و هندوستان شناسایی کردند. این بدافزار عمدتا از طریق پیوست های مخرب در ایمیل های اسپم توزیع می گردد. یکی از نمونه هایی که متخصصان ما به آن پرداخته بودند یک سند مالی به ظاهر مشروع بود. این موضوع نشان می دهد که مجرمان سایبری اولویت خود را شرکت های بزرگ قرار می دهند.

پیوست مخرب در ایمیل های اسپم شامل یک سند پی دی اف می باشد که اگر به هر دلیلی کاربر برای باز کردن یا ویرایش PDF تلاش کند سیستم درخواستی را برای اجازه نصب یک فایل اجرایی از منبعی ناشناخته برای شما ارسال می کند. در نهایت با اجازه کاربر باج افزار  Rakhni به فعالیت می پردازد.

 
مثل دزدی در شب...
در ابتدا، فایل مخرب PDF همانند یک سند واقعی و مشروع به نظر می‌رسد اما لحظه ای بعد بدافزار پیام خطایی را به قربانی نشان می دهد که در آن توضیح می دهد که چرا فایل باز نشده است. سپس بدافزار Windows Defender را غیر فعال می کند و گواهینامه های جعلی را بر روی سیستم نصب می کند.

تنها زمانی همه چیز برای کاربر شفاف سازی می شود که دستگاه آلوده شده باشد، در آن زمان تمامی فایل های کاربر رمزنگاری شده و درخواست باج یا نصب یک ماینر صورت می گیرد.
در نهایت بدافزار تلاش می کند تا به کامپیوترهای دیگر در داخل شبکه محلی گسترش یابد. اگر کارمندان یک شرکت به پوشه یUsers در دستگاه های خود دسترسی داشته باشند بدافزار خود را بر روی آن پوشه ها کپی می کند.

ماینینگ یا رمزنگاری؟
معیار انتخاب این بدافزار بسیار ساده است: اگر بدافزار یک فولدر را با نام Bitcoin بر روی سیستم قربانی پیدا کند بخشی از باج افزار را که قادر است فایل ها را که شامل اسناد اداری، فایل‌های PDF،  تصاویر و بک آپ‌ها را رمزنگاری کند را اجرا می کند و ظرف سه روز به پرداخت باج اقدام می کند. جزئیات مربوط به جبران خسارت و مبلغ آن از طریق ایمیل به دست قربانیان می رسد.

اما اگر هیچ پوشه‌ای با نام بیت کوین در دستگاه قربانی وجود نداشته باشد، بدافزارها تشخیص می دهند که سیستم توانایی کافی برای پردازش ماینرها را ندارد و بدین ترتیب یک ماینر را به صورت مخفیانه با نام های Monero، Monero Original یا Dashcoin در بک گراند ایجاد می‌کند.

قربانی این حمله نباشید
برای جلوگیری از قربانی نشدن حمله Rakhni و بوجود آمدن آلودگی در شرکت شما به طور جدی مراقب پیام های دریافتی باشید به خصوص آن هایی که از منابع ناشناس دریافت می کنید. اگر در مورد اینکه آیا پیوست ایمیل را باز کنید یا خیر شک دارید، این کار را انجام ندهید. توجه داشته باشید که برنامه ها را از منابع ناشناخته و توسعه دهندگان نامعتبر دریافت نکنید. و در نهایت به توصیه های زیر دقت کنید:

• آموزش‌های امنیتی لازم را به کارمندان خود بدهید و به طور مکرر آنها را آپدیت کنید.
  به طور منظم از اطلاعات مهم خود بک آپ گیری کنید و آنها را در یک حافظه جداگانه ذخیره کنید.
  از راهکارهای امن و قابل اعتماد و قوی همانند Kaspersky Endpoint Security for Business استفاده کنید.
  شبکه شرکت خود را به طور منظم برای وجود هرگونه آلودگی بررسی نمایید.

حتی اگر از راهکارهای امنیتی کسپرسکی استفاده نمی کنید هیچ دلیلی وجود ندارد که اطلاعات خود را تسلیم باج‌افزارها کنید. لابراتوار کسپرسکی ابزاری رایگان برای مقابله با باج افزارها را در اختیار کاربران سازمانی خود قرار داده است که آخرین تکنولوژی تشخیص رفتاری و مکانیسم ابر در آن به کار رفته است. 

منبع:ایتنا