بخش بهداشت و درمان برای جلوگیری از حملات سایبری نیاز به بازبینی امنیت سایبری داخلی خود دارند

 ​

-سال 2020 سالی بود که شرکت های داروسازی و درمانی در کانون توجه قرار گرفتند. همه گیری بی سابقه کرونا، در زمان بستن دفاتر و کسب و کارها و تأثیرگذاری  گسترده بر زندگی در سراسر جهان، در نهایت ختم به یک اتفاق بزرگ در رونمایی از یک واکسن بالقوه شد. با تحقیقات و پژوهشهای فراوان، توجه جهان به سمت شرکتهای داروسازی و درمانی سوق داده شد ، که نقش اساسی در تولید، بسته بندی و توزیع این واکسن به شدت موردتقاضا دارند.

- در Seqrite  کوییک هیل، ما این را در اوایل شروع همه گیری یادآوری کرده بودیم و در ماه مه تجزیه و تحلیل کردیم که چگونه صنعت داروسازی از نظر امنیت سایبری با یک چالش منحصر به فرد روبرو است - چگونه نیروهای کار از راه دور در این صنعت می توانند در حالی که از نظر دیجیتالی ایمن هستند کار کنند؟ در مقاله ای که در سال 2019 منتشر شد ، چالشهای اساسی برای صنعت بزرگ بهداشت و درمان که مورد تجزیه و تحلیل قرار گرفت تهدیدهای ناشی از حملات سایبری از جمله باج افزاری پررنگ نشان داده شد.

حملات اخیر سایبری به شرکت های داروسازی

- چند هفته گذشته ثابت شد که این ترس بی دلیل نبوده است. در ماه اکتبر ، دکتر ردی ، مستقر در حیدرآباد، بازیگر برجسته در صنعت داروسازی هند که اخیراً مجوز انجام آزمایشات بالینی برای واکسن Sputnik V روسیه را گرفت ، مورد حمله باج افزار قرار گرفت. چند هفته بعد ، لوپین ، یک شرکت داروسازی دیگر از بمبئی ، فاش کرد که توسط یک حمله سایبری که بر سیستم های IT آن تأثیر می گذارد ، مورد اصابت قرار گرفته است.

- این یک روند جهانی است که مهاجمان سایبری مخرب دارند که بعضی اوقات توسط دولت ها به کار گرفته می شوند و از تمرکز جهانی روی COVID-19 استفاده می کنند و به دنبال سرقت اطلاعات مهم هستند. مقامات امنیتی ایالات متحده هکرهای مرتبط با دولت چین را به هدف قرار دادن شرکت بیوتکنولوژی آمریکایی Moderna متهم کردند که روی واکسن نیز کار می کند.  پروژه های واکسن ویروس کرونا ویروس ژاپن نیز مورد حملات سایبری قرار گرفته در حالی که کره جنوبی نیز گزارش داده است که آنها تلاش کره شمالی برای هک کردن شرکت های تحقیقاتی واکسن را خنثی کرده اند.

- این اعداد در گزارش تهدید Seqrite برای فصل سوم 2020 منعکس شده است، جایی که صنعت بهداشت و درمان از نظر شمارش بدافزار در رتبه پنجم لیست صنایع قرار دارد. صنعت داروسازی یک صنعت حساس است، خصوصا در این زمان ها که امیدهای جهانی بر واکسن موفقی است که می تواند به همه گیری پایان دهد. به دلیل ماهیت حساس و ارزشمند داده های موجود در شرکت های داروسازی ، خطر حملات سایبری از طریق باج افزار، تهدیدهای مداوم پیشرفته (APT)، تهدیدات داخلی و سایر موارد بالا است.

- شرکت های داروسازی برای اطمینان از اینکه بیشترین شانس محافظت را به خود می دهند باید اطمینان حاصل کنند که کاملاً بر روی مکانیسم های امنیتی خود تمرکز کرده و امنیت سایبری را بسیار جدی می گیرند.

افراد ، فرایندها و فناوری ها

- امنیت سایبری موثر ، مدیریت خطرات مرتبط با سه عامل مهم یک سازمان است: افراد، فرایندها و فناوری ها. در این مقطع ، شرکت های داروسازی باید اطمینان حاصل کنند که درک کاملی از ساختار امنیتی موجود در سازمان های مربوطه خود دارند. پیاده سازی فرآیندها و فن آوری های جدید تنها زمانی می تواند اتفاق بیفتد که شکاف های موجود، چه از نظر افراد و چه از نظر فرایندها، مشخص شود.

- اطلاعات، بزرگترین سرمایه شرکت داروسازی هستند و از این رو یک گام اساسی داشتن کنترل های دقیق دسترسی و دسته بندی داده های محرمانه است. یک رویکرد جامع باید شامل یک فرآیند بازرسی و ارزیابی دقیق باشد، سپس باید به رویکردی تبدیل شود که بیشتر به سمت پیشگیری از حادثه حرکت کند نه اینکه فقط به واکنش به حادثه متمرکز شود.

- اندپوینت سکیوریتی سکورایت کوییک هیل، که اخیراً توسط AV-Test به عنوان محصول برتر برای ویندوز تأیید شده است، مجموعه ای از راه حل ها را ارائه می دهد که از شبکه و دستگاه های متصل آن در شرکتهای دارویی و بهداشت و درمان محافظت جامع به عمل می آورد.

نحوه تست آسیب پذیری Zerologon سرورهای اکتیو دایرکتوری

با توجه به حملات گسترده باج افزاری (مانند Ryuk) و نشت اطلاعات سازمانهای کشور با استفاده از آسیب پذیری CVE-2020-1472، مدیران امنیت شبکه می توانند با استفاده از ابزار زیر اقدام به تست آسیب پذیری سرورهای کنترل کننده دامنه Active Directory نمایند.

نکات:

- تمامی نسخه‌های ویندوز سرور از 2008 تا 2019 آسیب‌پذیر هستند.

- به علت عدم امکان بستن پورت کنترلر دامنه به علت استفاده برای ارتباط کلاینت و شبکه و نیز آسیب پذیری در پروتکل MS-NRPC، به سرعت قابل وصله کردن نیست. فعلا مایکروسافت یک وصله فوری ارائه داده که هرچند محافظت 100 درصدی ارائه نمی دهد اما تا حد بالایی مانع آسیب پذیری می گردد. 

- ممکن است نصب وصله امنیتی مایکروسافت ممکن است اختلالاتی در عملکرد ارتباطی دامنه ایجاد نماید.

- مهاجم می تواند با سوء استفاده از این آسیب‌پذیری کنترل سیستم قربانی را در دست بگیرد.

- با نصب این وصله بر روی سرورهای اکتیو دایرکتوری، پروتکل به اشتراک گذاری فایلها SAMBA وصله می شود.

- دستگاهها NAS دارای LDAP NAS نیز نیاز به بروزرسانی میان افزار (Firmware) خود دارند.

پیشگیری و مقابله:

- ماژول ضد بد افزار و هوش مصنوعی و ضد باج افزار اندپوینت سکیوریتی و آنتی ویروس K7، Seqrite و نیز ماژول پیشگیری از نفوذ غیرمجاز IDS/IPS سامانه مدیریت یکپارچه تهدیدات و فایروال Seqrite و WebRoam قادر به شناسایی و مقابله با این تهدیدات می باشند. از بروز بودن تجهیزات خود در کنار نصب وصله مایکروسافت مطمئن گردید.

- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin

- کاهش سطح دسترسی کاربران

- از دسترس خارج کردن سرویس‌های مهم نظیر MS-SQL و Domain Controller در بستر اینترنت

- غیرفعال کردن پورت ریموت دسکتاپ RDP و یا حداقل تغییر پورت پیش‌فرض 

- اطمینان از نصب بودن وصله های امنیتی بر روی تمامی کلاینت ها و سرورها

- ارتقای سیستم‌های عامل های قدیمی

دانلود به بروزرسانی ویندوز سرور:

https://yun.ir/c2pkg8

اطلاعات بیشتر:

yun.ir/sk0xe2

بررسی آسیب پذیر بودن سرور:

1. دانلود فایل از لینک زیر:

http://qhi.ir/downloads/Tools/Others/zerotest.zip

2. غیرفعال کردن آنتی ویروس بر روی کلاینت

3. خارج کردن از حالت فشرده.

4. اجرای Powershell به صورت ادمین

5. اجرای دستور:

.\zerologon_tester.ps1

در صورتی که متن زیر دریافت شد، نشان می دهد که سرور در معرض خطر بوده و نیاز به وصله دارد:

Success! DC can be fully compromised by a Zerologon attack.

امکان بازیابی اطلاعات رمز شده توسط یکی از مطرح ترین باج افزارها

گروه هکری که از باج افزار Shade یا Troldesh پشتیبانی می کردند، ضمن عذرخواهی بخاطر آسیب رساندن به قربانیان، فعالیت خود را تعطیل کرده و بیش از 750 هزار کلید رمزگشا را منتشر کردند.

تاکنون امکان بازگشایی فایلهای رمز شده تعداد کمی از باج افزارها وجود دارد. 

کارشناسان امنیت همواره تنها راهکار مقابله با باج افزارها را پیشگیری از آلودگی به آنها عنوان کرده اند. رعایت موارد امنیتی مانند، استفاده از آنتی ویروس قدرتمند با ماژول کارآمد ضد باج افزاری مانند کی سون، استفاده از فایروال و یو تی ام های حرفه ای با قابلیت قابل اتکای IDS/IPS مانند وبروم، کی سون، کوییک هیل و بروزرسانی سیستم عامل و نرم افزارها و اعمال وصله های امنیتی، استفاده از رمزهای عبور پیچیده و تعویض دوره ای آنها، تعویض پورت یا بستن ریموت دسکتاپ ویندوز، آموزش کاربران برای عدم باز کردن و کلیک بر روی ایمیلها و لینکهای آلوده، پشتیبان گیری منظم، رمز شده و امن و دوره ای، می تواند به پیشگیری از نفوذ باج افزارها کمک شایانی کند.

هر از چندگاهی با انتشار کلید خصوصی برخی از باج افزارها، امکان بازگشایی فایلهای رمز شده میسر می گردد. خوشبختانه اکنون با انتشار این کلیدها، بسیاری از فایلهای رمز شده که توسط این نوع باج افزار رمز شده اند، می توانند رمرگشایی گردند. 

باج افزار Shade پسوند فایلها را به صورت زیر تغییر می داده است:

xtbl

ytbl

breaking_bad

heisenberg

better_call_saul

los_pollos

da_vinci_code

magic_software_syndicate

windows10

windows8

no_more_ransom

tyson

crypted000007

crypted000078

rsa3072

decrypt_it

dexter

miami_california

اگر شما یکی قربانیان باج افزاری بوده اید و از نوع باج افزار خود مطمئن نیستید، می توانید یک نمونه از فایل رمز شده و یا فایل توضیحات متنی را در وب سایت زیر بارگذاری نمایید تا نوع باج افزار شما شناسایی شود. 

https://id-ransomware.malwarehunterteam.com

مشکل Share در ویندوز بعد از ویروسی شدن

در برخی مواقع سیستم دچار ویروس هایی می شود که در بستر شبکه منتشر می شوند. این بدافزارها تنظیمات شبکه ویندوز رو تغییر می دهند تا بتوانند خود را در شبکه گسترش دهند. آنتی ویروس ها گاهی ویروس ها را از بین می برند اما آثاری که از آنها به وجود می آید همچنان باقی می مانند.

نوعی از این ویروسها پوشه ای در C:\Windows\NetworkDistribution ساخته و اقدام به اقدامات خرابکارانه می کند. پس از شناسایی توسط آنتی ویروس ها مانند کوییک هیل، کسپرسکی، کی سون، سیمنتک، اف سکیور و... پاکسازی شده اما اشتراک گذاری در ویندوز 7 با مشکل مواجه خواهد شد. یعنی کامپیوتر پاکسازی شده به شبکه دسترسی دارد اما نمی تواند اطلاعات و پرینتر خود را به اشتراک بگذارد.

نکته اینکه امکان دسترسی به آی پی لوپ بک (127.0.0.1\\) و یا اسم کامپیوتر ( مثلا MyPC1\\) وجود دارد اما دسترسی به IP خود سیستم (مثلا 192.168.0.57\\) بر روی خود سیستم و دیگر کلاینتهای شبکه وجود ندارد.

تمامی سرویس ها، تنظیمات شبکه، حذف تنظیمات پیش فرض هم کمکی به رفع این مشکل نمی کند.

جالب است که پورت 445 که برای به اشتراک گذاری هست بر روی همه آی پی ها 0.0.0.0 در حال listen هست:

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    [::]:445               [::]:0                 LISTENING       4

مشکل در ایجاد یک فیلتر در Local Security Policy می باشد که دسترسی به شیر رو محدود می کند.

Local Security Policy > IP Security Policies on Local Computer

فقط کافی است که فیلتر مربوطه حذف و یا غیرفعال گردد.

این مشکل برای ویروس wannacry روی پورت 139 نیز وجود دارد.

کی سون: افزایش 260 درصدی تهدیدات سایبری در طول بحران کرونا

شرکت K7 پیشگام در امنیت سایبری، از افزایش قابل توجه حملات سایبری در طول بیماری همه گیر COVID-19 خبر داد. نگرانی از کروناویروس ، قرنطینه سراسری و انتقال سریع کار به خانه (دورکاری)، زمینه های جدیدی را برای مجرمان سایبری ایجاد کرده است تا به کاربران دیجیتالی که برای کار، تجارت، برقراری ارتباط و خدمات دیجیتال به استفاده از اینترنت متکی هستند، حمله کنند.

بنیانگذار و مدیر عامل شرکت K7 Computing ، با اشاره به پیامدهای امنیت سایبری از کووید 19، گفت: «مردم به طور واضح از بیماری همه گیر نگرانی دارند و به احتمال زیاد به پیوندها و پیوستهای مخرب که به عنوان اطلاعات مهم مرتبط با این ویروس هستند ، دسترسی دارند. کار و معامله از خانه همچنین فرصت های بیشتری را برای مجرمان سایبری که مایل به جمع آوری داده های تجاری و اطلاعات بانکی هستند ، ایجاد می کند.»

ایمیل های فیشینگ یک شاخه حمله رایج هست که قربانیانی ایمیل دریافت می کنند که حاوی به ظاهر اخبار کروناویروس از منابع معتبر هستند اما در واقع حاوی بدافزارهایی مانند باج افزار ، تروجان های دسترسی از راه دور، تولید کننده های خرابکار رمز ارزها و غیره هستند که می توانند سیستم های کاربران را به خطر بیاندازند. انواع دیگر اختلالات سایبری شامل کد مخرب تعبیه شده در نقشه های آنلاین است که برنامه های شیوع و تلفن های هوشمند را که اخبار و جدیدترین اطلاعات را ارائه می دهند ردیابی می کنند.

"آزمایشگاه تهدیدات K7 از آخرین هفته مارس تا هفته اول آوریل شاهد افزایش 260 درصدی موارد سایبری ناشی از کرونا ویروس بودند که میزان فرصت ایجاد شده توسط بیماری همه گیر برای مجرمان سایبری را برجسته می کند. ما به کاربران توصیه می کنیم بهداشت سایبری خود را رعایت کرده، یک محصول معتبر امنیت سایبری و تمام به روزرسانی های امنیتی را نصب کنید تا در امان باشید. "

شرکت کی سون با راه اندازی ابتکار عمل محافظت محافظت قطعی به این افزایش حملات سایبری پاسخ داده است و تا پایان این بحران محصولات امنیت سایبری خود را کاملاً رایگان کند. نسخه های کامل محصولات امنیتی Windows ، Android و Enterprise Endpoint بدون هزینه ای در https://www.k7computing.com/in/k7cares-covid در دسترس است تا اطمینان حاصل شود که کلیه کاربران و مشاغل در این مدت در فضای مجازی امن باقی می مانند.

هشدار مرکز ماهر درخصوص گسترش حملات باج‌افزاری: شیوع گسترده باج‌افزار STOP/Djvu در کشور

گزارشات به‌دست آمده از رخدادهای حملات باج‌افزاری اخیر، خبر از شیوع گسترده #باج‌افزار STOP/Djvu در سطح کشور می‌دهد. باج‌افزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن می‌باشد که ازنظر عملکرد شبیه والد خود می‌باشد.

حملات هدفمند سایبری

رعایت نکات امنیتی

در پی هشدار وضعیت نارنجی و قرمز برای بسیاری از سازمانهای زیرساختی و حیاتی کشور توسط سازمان پدافند غیرعامل، رعایت نکات امنیتی زیر توسط مدیر امنیت شبکه سازمانها ضروری می باشد:

- اطمینان از بروزرسانی اندپوینت سکیوریتی سکورایت کوییک هیل (آنتی ویروس) سرور.

- اطمینان از بروزرسانی سامانه یکپارچه مدیریت تهدیدات (UTM) سکورایت کوییک هیل یا وبروم و...

- درصورت امکان غیرفعال کردن سرویس ریموت دسکتاپ ویندوزهای (خصوصا سرورها)

- غیرفعال کردن پورت فورواردینگ (NAT) و یا DMZ در فایروال / مودم / روتر / یو تی ام /... برای دسترسی به کلاینتها از طریق آی پی های ولید.

- غیر فعال کردن دسترسی مستقیم به ریموت دسکتاپ و یا تغییر پورت پیش فرض 3389

- استفاده از رمزهای پیچیده برای همه کاربران شبکه (خصوصا اکتیو دایرکتوری با دسترسی ادمین دامنه)

- اطمینان از فعال بودن ماژول جلوگیری از نفوذ غیرمجاز (IDS/IPS) در سطح آنتی ویروس و UTM

- تهیه پشتیبان گیری و قطع دسترسی هارد از کلاینت و نگهداری در جای امن

- اطمینان از فعال بودن برنامه های پشتیبان گیری خودکار مانند وبروم بکاب

- تهیه بکاب از فایلها و پایگاههای داده سرورها

- اطلاع رسانی به کاربران برای تهیه بکاب از اطلاعات موجود در هارد دیسک محلی

- کاهش سطح دسترسی کاربران به اطلاعات اشتراکی (فقط خواندنی) تا حد امکان

- نصب آنتی ویروس بر روی همه کلاینتهای شبکه. ( در صورت عدم امکان نصب، قطع دسترسی کلاینتها به سرورهای مهم و زیرساخت شبکه)

- بستن پورتهای باز غیرضرور ورودی و خروجی از طریق UTM و آنتی ویروس

- نصب وصله ها و آپدیت های امنیتی توسط Patch Management کوییک هیل

- عدم نصب برنامه های غیرضرور بر روی سرورها و یا کلاینتها

- آگاهی از آخرین اطلاعات و اخبار امنیتی

افزایش حملات باج افزار اندرویدی– مراقب باشید!

تنها باج افزار کامپیوتر نیست که باید نگران آنها باشیم. حملات باج افزارهای به سیستم های اندروید نیز در حال افزایش است…

بر اساس تحقیقات انجام شده توسط آزمایشگاه های امنیتی کوییک هیل حملات باج افزارها به سیستم های اندروید در سه ماهه اول سال ۲۰۱۷ با رشد ۲۰۰ درصدی روبرو بوده است.

---

برای خواندن گزارش کامل اینجا را کلیک کنید

عملکرد باج افزار اندروید همانند باج افزار کامپیوتر می‌باشد. بدافزار می‌تواند دستگاه شما را قفل کرده یا داده های ذخیره شده را رمزگذاری کند و تقاضای باج کند تا همه چیز را به حالت عادی برگرداند.

نکاتی برای مقابله با باج افزار اندروید:

• روی لینک ها یا فایل های پیوست ایمیل های ناشناخته یا غیر منتظره کلیک نکنید.
• روی لینک های موجود در پیام های دریافتی از شماره های ناشناس کلیک نکنید.
• برنامه ها را از منابع غیر رسمی دانلود نکنید.
• از اطلاعات مهم ذخیره شده در گوشی تان پشتیبان تهیه کنید.

چگونه برنامه موبایل سکیوریتی کوییک هیل از تهدیدات باج افزار و سایر بدافزارها جلوگیری می کند.

هنگام نصب برنامه ها بر روی گوشی، آنها را اسکن می کند.

آسیب پذیری های امنیتی موجود در برنامه های نصب شده بر روی گوشی تان را شناسایی می کند.

برای اطمینان از ایمن بودن برنامه های دانلود شده، آنها را با اسکن پس زمینه بررسی می کند.

این برنامه آخرین بروز رسانی های ویروس را به صورت خودکار دریافت می کند تا از گوشی تان در برابر آخرین ویروس ها و بدافزارها محافظت کنید.

این برنامه سطح امنیتی دستگاه را بررسی می کند و به شما در ایمن نگه داشتن آن کمک می کند.

راههای محافظت در برابر باج افزار خطرناک Petya

آزمایشگاههای امنیتی Quick Heal درمورد یک نوع جدید از باج افزار به نام Petya که کاربران را در سطح جهانی تحت تأثیر قرار می دهد، اطلاعیه زیر را صادر کرده است:

در حال حاضر، چندین گزارش از این حمله از چند کشور مشاهده کرده ایم.

 

همه کاربران Quick Heal و Seqrite EPS از این حمله خطرناک باج افزاری که از آسیب پذیری آبی ابدی (eternal blue) استفاده می کند، محافظت می شوند. ماژول شناسایی و پیشگیری از نفوذ غیرمجاز (IDS) با موفقیت، تلاشهای سوء استفاده از Eternal Blue را مسدود می کند. ماژول رفتارشناسی Seqrite (BDS) نیز حملات احتمالی را به کاربران هشدار داده و از آنها به صورت هوشمند و پیشگیرانه حفاظت می کند. مدیران شبکه فقط از فعال بودن تمام مکانیسم های امنیتی Seqrite مطمئن شوند.

 

آزمایشگاههای امنیتی Quick Heal به طور مداوم بر روی تهدید نظارت بر تهدید و روز رسانی های ضروری را برای محافظت تهدیدات در لایه های مختلف ارائه می می دهند. بنابراین لطفا Seqrite خود را با تمام به آپدیت های فعلی که به طور منظم منتشر می شود، به روز نگه دارید.

 

مراحل پیشگیری و توصیه

 

~ اجتناب از کلیک کردن بر روی لینک های ایمیلی که از فرستنده های ناشناس دریافت شده اند.

~ اعمال تمام وصله های امنیتی مایکروسافت ویندوز از جمله MS17-010 که پچ آسیب پذیری آبی ابدی است.

~ اطمینان حاصل کنید که امکان به روز رسانی خودکار Seqrite فعال است و آخرین به روز رسانی ها را دریافت کرده است.

~ اطمینان حاصل کنید که به طور منظم از داده های خود به دیسک های خارجی (DVD و یا هاردهای اکسترنال) نسخه پشتیبان تهیه می کنید.

~ از ورود به کامپیوتر با مجوزهای دسترسی مدیریتی (Administrator) اجتناب کنید. با حساب کاربری که دارای مجوزدسترسی کاربر استاندارد است با سیستم کار کنید نه با حساب کاربری ادمین.

 

 

شما می توانید اطلاعات جامع در مورد Petya Ransomware از وبلاگ ما بدست آورید:

http://blogs.seqrite.com/petya-ransomware-is-affecting-users-globally-here-are-things-you-can-do

http://quickheal.co.ir

http://t.me/joinchat/BQw0Yz360JhfzSEkwcnWIg

هشدار امنیتی! Locky Ransomware یک مهاجم است

‘Locky’ آخرین مدل خانواده باج افزار است. نام جالبی دارد و به همان اندازه مخرب است. ادامه مطلب را در اینجا ببینید.

---

Locky Ransomware چیست؟

Locky یک بدافزار جدید رمزنگاری فایل است. دو کار انجام می دهد:

•      فایل های موجود در کامپیوتر آلوده شده را رمزنگاری می کند.
•      فرمت فایل های رمزگذاری شده را به .locky تغییر می دهد.

و همانطور که می دانیم، فایل های رمز شده را تنها با پرداخت باج برای دریافت یک کلید که در دسترس کلاهبردار سایبری است، می توان رمزگشایی کرد.

چه کسانی در خطر می باشند؟

باج افزار Locky برای هدف قرار دادن کاربران ویندوز شناخته شده است.

چگونه یک دستگاه را آلوده می کند؟

به نظر می رسد باج افزار از کمپین ایمیل های اسپم مختلف برای گسترش و آلودگی قربانیان استفاده می کند.

در یک کمپین، متوجه شدیم که به نظر می رسد این ایمیل ها از یک سازمان مردمی باشد، و از کاربر می خواهد که یک فایل پیوست صورتحساب (MS Word doc) را دانلود کند.

این سند حاوی متنی است که به نظر می رسد نامفهوم یا ناخوانا باشد. و برای تبدیل به متن خوانا، کاربر نیاز به فعال کردن ‘macros’ دارد.

اگر کاربر گرفتار این حیله شود و ‘macros’ را فعال کند، یک سری فرآیندهای خودکار در نهایت باعث نصب Locky Ransomware در دستگاه می شود.

هنگام ورود به سیستم، باج افزار هر فایلی که می یابد را رمزنگاری می کند.

سپس چه اتفاقی می افتد؟

هنگامی که Locky فایل ها را رمزنگاری می کند، بر روی دسکتاپ یک پیام به کاربر نمایش می دهد. پیام اخطار از آنچه اتفاق افتاده است، و این که رمز گشایی فایل ها تنها با خرید یک کلید خصوصی از هکر امکان پذیر است؛ هزینه رمزگشایی می تواند بیش از ₹ 26,558/- ($400) باشد.

پیشنهاد ما چیست؟

•     به طور منظم از فایل های مهم خود پشتیبان تهیه کنید، و پشتیبان را رمزنگاری کنید. رمزنگاری این اطمینان را می دهد که داده ها توسط هیچ شخصی سوء استفاده نگردد.
•     به ایمیل هایی که از شما می خواهند یک پیوست، نرم افزار، فرم های نظر سنجی و یا هر چیزی که انتظارش را ندارید دانلود کنید، اعتماد نکنید؛ حتی به فوری بودن، و یا ایمیلی که مهم یا ضروری به نظر برسد توجه نکنید. اگر فکر می کنید ایمیل واقعی است، با فرستنده تماس بگیرید و از صحت آن مطمئن شوید.
•     از اکانت ‘Administrator’ برای کامپیوترتان استفاده نکنید مگر اینکه ضروری باشد. لاگین کردن به عنوان مدیر و توسط بدافزارها مورد حمله قرار گرفتن می تواند آسیب های جبران ناپذیری به کامپیوترتان وارد کند. همیشه به عنوان یک کاربر استاندارد برای استفاده روزانه وارد شوید.
•     سیستم عامل ویندوز و تمام برنامه های متفرقه/ کاربردی را با آخرین بروز رسانی / وصله امنیتی به روز نگه دارید. در اکثر آلودگی های باج افزاری، بد افزارها از آسیب پذیری های امنیتی موجود در سیستم کاربر سوء استفاده می کنند.

چگونه کوییک هیل کمک می کند؟

ما برای محصولات خانگی کوییک هیل به روز رسانی منتشر کردیم که مانع از حمله باج افزار Locky می شود. علاوه بر این، مکانیسم دفاعی چند لایه کوییک هیل از انواع حملات مخرب از جمله آلودگی باج افزارهای جدید جلوگیری می کند.

Email Security ایمیل های حاوی لینک ها و پیوست های مخرب را مسدود می کند.

Web Security وب سایت های حاوی بدافزار ها و ویروس های پنهان، و وب سایت های طراحی شده برای حملات فیشینگ را مسدود می کند.

Advanced DNAScan بدافزارهای جدید و ناشناخته ای که می تواند آسیب های زیادی وارد کند را متوقف می کند.

Anti-Ransomware از رمزنگاری هر نوع داده ای توسط باج افزار جلوگیری می کند. این ویژگی با روش های مختلفی از حمله باج افزار بالقوه جلوگیری می کند.

•      تمامی فایل های دانلود شده که اجزای سازنده آن می تواند تبدیل به یک حمله باج افزار بالقوه شود را اسکن می کند.
•      آنالیز نحوه عملکرد یک برنامه بلادرنگ، می تواند قبل از هر گونه آسیبی آن را متوقف کند.
•      پشتیبان گیری بلادرنگ مانع از نشت اطلاعات حتی در مواردی که فایل های خاصی ممکن است توسط یک باج افزار رمزگذاری شود.
•      کمک می کند تا کاربران مسیر فایل هایی که رمزگذاری شده اند را بیابند.
•      بلافاصله به کاربران هشدار می دهد تا برای اصلاح اقدام کنند.
•      آلودگی های باج افزار شناسایی شده را ایزوله می کند؛ از گسترش و هر گونه آسیب رسانی آنها جلوگیری می کند.

ما ردپای Locky Ransomware و توسعه آن را دنبال می داریم. ما در مواردی که هر چیز مهمی رخ دهد شما را مطلع می کنیم. ایمن بمانید!

هشدار! گسترش باج افزار از طریق وب سایت برنامه ریموت Ammyy

این خبر یک توصیه پیشگیرانه برای کاربرانی است که اغلب از وب سایت نرم افزار ریموت از راه دور به نام  Ammyy بازدید می کنند.

---

آزمایشگاه کوییک هیل یک نوع جدیدی از Cerber3 Ransomware را کشف کرده که از طریق نرم افزار ریموت Ammyy در وب سایت رسمی این برنامه گسترش یافته است. با این وجود، امکان میزبانی از دیگر بدافزارها توسط این وب سایت نیز وجود دارد. پیش از این، در این وب سایت گسترش باج افزار خطرناک Cryptowall 4.0 کشف شد.

تیم پژوهش و واکنش تهدیدات کوییک هیل به تازگی افزایش آلودگی توسط باج افزار Cerber را مشاهده کرده که در آن قربانیان، نرم افزار ریموت Ammyy را از وب سایت اصلی دانلود و اجرا کرده اند. آنالیز بدافزار کشف شده مؤید گفته فوق می باشد.

آنالیز فنی باج افزار در این PDF در دسترس است.

نحوه کار کوییک هیل چگونه است

ویژگی Web Security بطور فعال وب سایت ها را بر اساس شدت مخرب بودن و اختلال در برنامه های کاربردی واقعی شناسایی و مسدود می کند.

چگونه در برابر Cerber Ransomware ایمن بمانیم؟

• از مراجعه به وب سایت برنامه ریموت Ammyy اجتناب کنید.

• اگر نرم افزار برنامه ریموت Ammyy را روی کامپیوترتان دارید، سریعا آن را حذف کنید.

• به ایمیل های ناشناس و یا ناخواسته و به ایمیل های فوری که از شما می خواهند بر روی لینک کلیک کرده و یا فایل پیوست را دانلود کنید، توجه نکنید و پاسخ ندهید.

• نرم افزار آنتی ویروسی که وب سایت ها و ایمیل های آلوده با محتوای مخرب را شناسایی و مسدود می کند، نصب و اجرا کنید.

• به طور منظم از فایل های مهم پشتیبان تهیه کنید. به یاد داشته باشید هنگام پشتیبان گیری روی هارد دیسک، اینترنت را قطع کنید. قبل از اینکه دوباره آنلاین شوید، درایو را جدا کنید.

• تمام بروز رسانی های امنیتی توصیه شده برای سیستم عامل، برنامه هایی مانند نرم افزار Adobe، جاوا، مرورگرها، و غیره را اعمال کنید. این به روز رسانی ها، ضعف های امنیتی این برنامه ها را رفع و از بهره برداری توسط نرم افزارهای مخرب جلوگیری می کند.

راهکار ویژه کوییک هیل برای بازیابی فایل ها پس از حمله باج افزار

هنگام حمله یک باج افزار، اگر بدانید از اطلاعات تان به صورت امن پشتیبان گیری شده است؛ آیا دیگر لازم نیست که نگران بازیابی فایل هایتان باشید؟ قابلیت پشتیبان گیری و بازیابی کوییک هیل به شما کمک می کند تا به هدفتان برسید.

---

Ransomware چیست؟

Ransomware یک بدافزار است که کامپیوتر آلوده را قفل می کند و تمام فایل های روی سیستم را رمز گذاری می کند. سپس برای رها کردن سیستم و یا رمزگشایی فایل ها از قربانی تقاضای باج می کند.

در صورتی که به دلیل حمله ی باج افزار به داده هایتان دسترسی ندارید، لطفاً با تیم پشتیبانی کوییک هیل تماس بگیرید. آنها به کاربران کوییک هیل کمک خواهند کرد تا بدون هیچ گونه دریافت هزینه فایل هایشان را بازیابی کنند.

نکات کلیدی قابلیت پشتیبان گیری و بازیابی:

1. ابتدا می بایست یک محصول آنتی ویروس کوییک هیل را نصب و فعال کنید. این قابلیت به عنوان بخشی از بروز رسانی دانلود شده و نیاز به اقدام خاصی توسط کاربر نیست.

2. سبک است و برای پشتیبان گیری از اطلاعاتتان به طور نامحسوس در پس زمینه کار می کند و تأثیری در عملکرد سیستم ندارد.

3. به صورت خودکار و دوره ای (چند بار در روز)، از تمام فرمت های فایل های مهم و شناخته شده مانند PDF و فایل های مایکروسافت آفیس موجود بر روی کامپیوترتان یک نسخه پشتیبان تهیه می کند. اگر هر یک از فایل های فوق را ویرایش کردید، به طور خودکار از آخرین نسخه پشتیبان گیری می کند.

4. یک نسخه پشتیبان از فایل هایتان در درایو محلی کامپیوترتان نگه می دارد  و به هیچ وجه، این اطلاعات اشتراک گذاری نشده و یا به فضای ابر کوییک هیل منتقل نمی شود.

5. از درایوهای مپ شده/ شبکه و جداشدنی پشتیبانی نمی کند. هرچند که امکان بازیابی فایل های روی شبکه وجود ندارد، اما از درایوهای جداشدنی می توان برای بازیابی اطلاعات استفاده کرد.

این ویژگی در محصولات زیر موجود است:

• سری محصولات 2016 کوییک هیل (v17.00)

• سری محصولات 2015 کوییک هیل (v16.00)

همگام با گسترش و پیدایش تهدیدات جدید، ویژگی های جدید امنیتی محصولات خانگی کوییک هیل به صورت مرحله ای افزایش می یابد.

توجه داشته باشید که قابلیت پشتیبان گیری و بازیابی بر روی یک سیستم در سناریوهای زیر تاثیری نخواهد داشت:

1. اگر قبل از نصب این ویژگی، فایل ها توسط یک باج افزار رمزگذاری شده باشد.

2. اگر کامپیوتر تحت حمله باج افزار رمزگذاری کامل دیسک قرار گیرد. هرچند که این موارد بسیار نادر است.

با وجود این که کوییک هیل به شما کمک خواهد کرد فایل هایتان را بازیابی کنید، باید توجه داشته باشید که این ویژگی یک راهکار جامع برای تهیه نسخه پشتیبان یا بازیابی اطلاعات نیست. توصیه می کنیم برای جلوگیری از آلودگی باج افزار، نکات امنیتی زیر را رعایت کنید:

• هرگز ایمیل های ارسال شده توسط منابع ناشناس، ناخواسته و یا غیر منتظره را باز نکنید.

    اگر به نظر می رسد یک ایمیل فوری توسط کسی که می شناسید ارسال شده است، با فرستنده تماس بگیرید و بررسی کنید. اکثر ایمیل های فیشینگ با به شکل مهم و یا فوری ارسال شده اند. آنها عمدتاً برای فریب شما نوشته شده اند تا مثلاً بر روی یک لینک کلیک کنید یا فایل پیوست را دانلود کنید.

• بر روی لینک ایمیل هایی که اطلاعات شخصی را می خواهند، یا در مورد حساب های بانکی تان می پرسند کلیک نکنید و یا فایل های پیوست را دانلود نکنید.

• توصیه می شود تمام به روز رسانی های امنیتی برای سیستم عامل را اعمال کنید؛ برنامه هایی مانند نرم افزار Adobe، جاوا، مرورگرها، و غیره. این به روز رسانی ها نقاط ضعف امنیتی این برنامه ها را رفع می کند و از بهره برداری توسط نرم افزارهای مخرب جلوگیری می کند.

• همیشه نرم افزار آنتی ویروس تان را به روز نگه دارید و از آنتی ویروسی که می تواند ایمیل ها و وب سایت فیشینگ را مسدود کند استفاده کنید.

• به طور منظم از فایل های خود پشتیبان تهیه کنید. به یاد داشته باشید هنگام پشتیبان گیری بر روی هارد دیسک اینترنت را قطع کنید. قبل از این که دوباره آنلاین شوید درایو را جدا کنید.

تکنولوژی ضد باج افزار کوییک هیل بطور فعال باج افزار را شناسایی و از حملات احتمالی آنها جلوگیری می کند. برای دانستن نحوه کار، این اینفوگرافیک را مشاهده کنید.

مراقب کرک ویندوز KMSPico باشید

کرک ویندوز می تواند یک باج افزار باشد.

---

اگر برای فعالسازی ویندوز و یا MS Office از KMSPico Activator استفاده می کنید، باید انتظار آلوده شدن به باج افزار را نیز داشته باشید. آزمایشگاه های تحقیقاتی تهدیدات کوییک هیل اخیراً یک نوع جدید از باج افزار به نام Domino کشف کرده است که از این اکتیویتور به عنوان یک حامل استفاده می کند. این بدافزار فایل های آلوده را رمز گذاری کرده و پسوند ".domino" را به فایل هایتان اضافه می کند.

چگونه باج افزار Domino وارد کامپیوتر قربانی می شود؟

باج افزار خود را به شکل KMSPico Windows Activator (ابزاری که برای فعال شدن هر نسخه از ویندوز و مایکروسافت آفیس استفاده می شود) در می آورد. کاربر ناآگاه ممکن است گمان کند این یک ابزار واقعی است و آن را نصب کند، و در نهایت کامپیوتر را آلوده به باج افزار کند.

برای آنالیز فنی این باج افزار، این PDF را دانلود کنید: http://blogs.qhi.ir/wp-content/uploads/2016/09/DOMINO_Ransomware_Analysis_PDF.pdf

تکنولوژی ضد باج افزار کوییک هیل موفق به شناسایی فعالیت رمزگذاری فایل باج افزار Domino شد.

اقدامات امنیتی برای ایمن ماندن در برابر باج افزار Domino و سایر نرم افزارهای مخرب :

• تنها از نرم افزار دارای لایسنس استفاده کنید و از نرم افزارهای کرک شده اجتناب کنید
• از دانلود و نصب فعال کننده یا کرک (activators) برای فعال شدن سیستم عامل و یا نرم افزار های دیگر اجتناب کنید
• سیاست حفظ حریم خصوصی را بخوانید و از خطرات نصب هر نرم افزار آگاه شوید
• از تمام فایل های مهم به صورت منظم پشتیبان تهیه کنید
• نرم افزار آنتی ویروس را بر روی کامپیوترتان اجرا کنید و آن را به روز نگه دارید.

راه های مقابله با گروگان افزار CTB

هر روزه مجرمین سایبری راهی جدید برای کسب درآمد نامشروع برای خود پیدا می کنند. چند وقتی است نوع جدیدی از بدافزار با عنوان عمومی گروگان افزار در فضای سایبری در حال شیوع می باشد. این بدافزار از طریق ایمیل، درایوهای فلش، شبکه و... منتشر می شود. راه صحیح مقابله با آن عدم باز کردن ایمیل های ناشناخته و استفاده از آنتی ویروس های قدرتمند مانند کوییک هیل، سیمانتک و... می باشد.

بدافزاری گروگان افزار یا باج افزار (ransomware) با عنوان Cryptowall یا Cryptolock یا CTB در حال رشد می باشد. این بدافزار فایل های آفیس (doc، docx، ppt، pptx xls، xlsx و...) و PDF را به حالت رمز تبدیل کرده و نه تنها پسوندی به انتهای آنها اضافه می کند، بلکه کلیه اطلاعات آنها را رمز می نماید.

بدافزار فوق توسط انجین رفتارشناسی (Behaviour Detection) برخی از آنتی ویروس ها مانند کوییک هیل قابل شناسایی می باشد. این بدافزار در این سیستم شناسایی شده و اخطار لازم و احتمال خطر به کاربر نشان داده می شود. 

به صورت کلی چنین نرم افزارهایی، یک کار قانونی را انجام می دهند، بدین معنی که عمل رمزنگاری به خودی خود فعالیت مخرب محسوب نشده، بلکه از روش های رمزنگاری به صورت گسترده در سامانه های رایانه ای و ارتباطی استفاده می شود. اما برخی از مجرمان با سوءاستفاده از متد رمزنگاری، اقدام به رمزنگاری و دریافت وجه جهت باز کردن رمز می نمایند. بنابراین آنتی ویروس ها از متدهای رمزنگاری به صورت کلی ممانعت به عمل نیاورده، بلکه اخطار لازم را به کاربر نشان می دهند.

برای عدم شناسایی این مجرمان، انتقال وجه از طریق شبکه TOR صورت پذیرفته که قابلیت پبگیری وجود ندارد. معمولا از کامپیوترهای دیگران (قربانی) برای لاگین و ارسال و دریافت اطلاعات و ایمیل سوء استفاده می شود. وجه آن هم معمولا به صورت پول های اینترنتی مانند Bitcoin منتقل می شود.

آنتی ویروس های قدرتمند می توانند سیستم آلوده را از آلودگی این بدافزار پاکسازی نمایند، اما فایل هایی که قبلا رمز شده قابل رمزگشایی نمی باشد.

این بدافزار فایل ها را با استفاده از کلید الگوریتم RSA رمز می نماید. در این الگوریتم RSA، برای رمزنگاری نیاز به کلید خصوصی و برای رمزگشایی نیاز به کلید عمومی داریم که در اختیار مهاجم می باشد. بنابراین متاسفانه امکان رمزگشایی فایل های رمزشده توسط هیچ شخص یا شرکتی وجود ندارد. در صورت وجود فایل های پشتیبان کاربر می تواند آنها را بازنشانی نماید.