امکان بازیابی اطلاعات رمز شده توسط یکی از مطرح ترین باج افزارها

گروه هکری که از باج افزار Shade یا Troldesh پشتیبانی می کردند، ضمن عذرخواهی بخاطر آسیب رساندن به قربانیان، فعالیت خود را تعطیل کرده و بیش از 750 هزار کلید رمزگشا را منتشر کردند.

تاکنون امکان بازگشایی فایلهای رمز شده تعداد کمی از باج افزارها وجود دارد. 

کارشناسان امنیت همواره تنها راهکار مقابله با باج افزارها را پیشگیری از آلودگی به آنها عنوان کرده اند. رعایت موارد امنیتی مانند، استفاده از آنتی ویروس قدرتمند با ماژول کارآمد ضد باج افزاری مانند کی سون، استفاده از فایروال و یو تی ام های حرفه ای با قابلیت قابل اتکای IDS/IPS مانند وبروم، کی سون، کوییک هیل و بروزرسانی سیستم عامل و نرم افزارها و اعمال وصله های امنیتی، استفاده از رمزهای عبور پیچیده و تعویض دوره ای آنها، تعویض پورت یا بستن ریموت دسکتاپ ویندوز، آموزش کاربران برای عدم باز کردن و کلیک بر روی ایمیلها و لینکهای آلوده، پشتیبان گیری منظم، رمز شده و امن و دوره ای، می تواند به پیشگیری از نفوذ باج افزارها کمک شایانی کند.

هر از چندگاهی با انتشار کلید خصوصی برخی از باج افزارها، امکان بازگشایی فایلهای رمز شده میسر می گردد. خوشبختانه اکنون با انتشار این کلیدها، بسیاری از فایلهای رمز شده که توسط این نوع باج افزار رمز شده اند، می توانند رمرگشایی گردند. 

باج افزار Shade پسوند فایلها را به صورت زیر تغییر می داده است:

xtbl

ytbl

breaking_bad

heisenberg

better_call_saul

los_pollos

da_vinci_code

magic_software_syndicate

windows10

windows8

no_more_ransom

tyson

crypted000007

crypted000078

rsa3072

decrypt_it

dexter

miami_california

اگر شما یکی قربانیان باج افزاری بوده اید و از نوع باج افزار خود مطمئن نیستید، می توانید یک نمونه از فایل رمز شده و یا فایل توضیحات متنی را در وب سایت زیر بارگذاری نمایید تا نوع باج افزار شما شناسایی شود. 

https://id-ransomware.malwarehunterteam.com

آسیب پذیری SMB پروتکل شیر کردن فایل و پرینتر

حملات SMB Ghost

به اشتراک گذاری فایل و پرینتر (Sharing) یکی از موارد پرکاربرد در سازمانها می باشد. پس از حفره و آسیب پذیری SMB v1 که پیشتر ویندوزها را با تهدیدات جدی روبر کرده بود، اکنون آخرین نسخه از SMB v3.1.1 با مشکل آسیب پذیری روبرو شده است.

در مارس 2020 اعلام کرد از آسیب پذیری کرم گونه با شناسه CVE-2020-0796  (که با نام SMBGhost  یا روح اشتراک گذاری نیز یاد می شود) که در ماژول محبوب به اشتراک گذاری SMB (بلوک پیام رسان سرور) نسخه 3.1.1 که بر روی ویندوز 10 (1903 و 1909) و ویندوز سرور 2019 ساخت های ( 1903 و 1909) قرار دارد آگاه است.

SMBGhost یک آسیب پذیری سرریز صحیح در درایور SMB است که می تواند از هدر فشرده سازی استفاده کند و این امکان را به شما می دهد تا بافرهایی با ابعاد نادرست ایجاد کنید که منجر به سرریز بافر می شود. این آسیب پذیری در روش تابع Srv2DecompressData ()  قرار دارد که مقدار SMB2_COMPRESSION_TRANSFORM_HEADER در زمان از فشرده سازی خارج کردن اندازه پیام مدیریت می کند، منجر به سرریز / پاریز صحیح جریان می شود.

مایکروسافت شدت بحرانی را به این آسیب پذیری اختصاص داده است. یکی دیگر از آسیب پذیری های مهم پیشگیرانه اجرای از راه دور کد (RCE) می باشد که در SMB نسخه 1.0 (CVE-2017-0144) می باشد (اکثر ویندوزها از XP به بالا) توسط باج افزار WannaCry در سال 2017 مورد سوء استفاده قرار گرفت.

در زمان نوشتن مطلب، حدود 70000 دستگاه قابل دسترسی در سطح عمومی آسیب پذیر بودند همانطور که در شکل 1 نشان داده شده است (توجه داشته باشید که تعدادی از ماشینهای در معرض ممکن است ظرف عسل SMB باشند. همچنین این سیستم ها دارای IP ولید و عمومی می باشند، ممکن است سیستمهای آسیب پذیر بسیاری بدون دسترسی به آی پی ولید باشند).

سوء استفاده از آسیب پذیری از CVE-2020-0796 منجر به حملات اخلال در خدمت DoS بسیار آسان و ساده می گردد، اما بهره برداری از آن برای اجرای کد از راه دور می تواند چالش برانگیز باشد، زیرا ویندوز محافظت از حافظه خود را بهبود بخشیده است. اجرای کد از راه دور می تواند با شکست دادن تصادفی چیدمان فضای آدرس (KASLR) یا زنجیره با سایر آسیب پذیری های نشت حافظه حاصل شود. اگرچه این آسیب پذیری در تئوری قابل اجراست، اما ما معتقدیم که با توجه به عوارض و احتمال کمبود آسیب پذیری های متعدد چندگانه زنجیره ای برای بدست آوردن RCE نمی تواند همانند باج افزار WannaCry خطرناک باشد.

پچ برای این آسیب پذیری موجود است. برای نصب پچ امنیتی ، سیستم عامل خود را به روز کنید.

اگر به هر دلیلی قادر به نصب به روزرسانی ها نیستید، می توانید برای جلوگیری از حمله هکرها به سرور SMBv3.1.1 خود با دستور powerhell زیر فشرده سازی را غیرفعال کنید:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

توجه داشته باشید که این راهکار حملات به کلاینت SMB را که با فریب دادن شما به اتصال به سرورهای مخرب آنها که با پاسخ بسته های دستکاری شده روبرو می شوید، متوقف نمی کند. توصیه می شود ترافیک خارجی SMB را از شبکه محلی خود به WAN مسدود کنید. همچنین ، بسیار توصیه می شود اطمینان حاصل شود که اتصالات از طریق اینترنت به خدمات SMB در محیط سازمان شما مجاز نیست.

روشهای محافظت:

از UTM های مناسب (مانند وبروم / کوییک هیل / کی سون) برای پایش ترافیک به داخل و خارج سازمان پاستفاده کنید.

فایروال خود را همیشه روشن کنید.

از استفاده از حساب Administrator به عنوان حساب کاربری اصلی در دستگاه های حساس خودداری کنید.

اطمینان حاصل کنید که سیستم های شما برای وصله های امنیتی سیستم عامل به روز هستند و به طور پیش فرض امکان نصب به روزرسانی ها را می دهند.

از یک محصول امنیتی معتبر مانند K7 Endpoint Security و K7 Total Security استفاده کنید تا از آخرین تهدیدات محافظت کنید.

از در معرض قرار گرفتن سرویس SMB خود به اینترنت خودداری کنید مگر اینکه در مواردی که لازم باشد.

محصولات

امنیتی K7 تلاش های مربوط به سوء استفاده از آسیب پذیری SMBGhost  را (CVE-2020-0796) توسط لایه امنیتی IDS خود (یا شناسه حمله نفوذ 000200E8) شناسایی و به صورت پیشگیرانه محافظت می کند.

تحلیل فنی کامل نوع حمله، وصله و آسیب پذیری در صفحه زیر قابل دریافت است:

https://labs.k7computing.com/?p=20243