نوشته‌ها

باج افزار ایرانی TYRANT

نوع جدیدی از باج افزار در 16 اکتبر 2017 کشف شده است که ظاهرا ایرانی است. باج افزار Tyrant  یک تروجان رمزگذاری داده است که  به عنوان یک تهدید رمزنگاری متوسط دسته بندی می شود. به نظر می رسد این ابزار برای حمله سایبری به کاربران خانگی و شرکت های کوچک که دارای حفاظت های سایبری مناسب نیستند مورد استفاده قرار می گیرد.

تجزیه و تحلیل سیستم های به خطر افتاده به وضوح نشان می دهد که باج افزارTyrant  کاربران فارسی زبان را در جنوب شرق و جنوب آسیا هدف قرار داده است. کشورهای دیگری به جز ایران، مانند عراق، پاکستان، هند و امارات متحده عربی هم از زبان فارسی استفاده می کنند.

به نظر می رسد این باج افزار ایرانی است، اما ممکن است برای انتقاد از ایران توسط سایر کشورها تولید شده باشد. با این حال، برخی از گزینه های پرداخت ایرانی هستند.

ظاهرا باج افزار Tyrant  از طریق ایمیل های اسپم گسترش می یابد که ممکن است کاربران را برای دانلود و باز کردن فایل های PDF، DOCX و ZIP با اطلاعات جالب مانند اعلامیه تأیید خرید، فاکتور یا درخواست شغلی دعوت کند. باج افزار Tyrant بر اساس  باج افزار Ramsomeer  یا کد (DUMB) توسعه داده شده است.

ممکن است برنامه نویسان یکسانی هر دو تروجان را ایجاد کرده باشند. این ابزارها در قالب فایل اجرایی DUMB.exe اجرا می شوند و از الگوریتم های رمزنگاری سفارشی شده برای قفل کردن داده ها استفاده می کنند. باج‌افزارTyrant  بسیار متفاوت‌تر از اکثر تروجان‌هایی که بر اساس HiddenTear کار می‌کنند؛ مانند باج‌افزار KimcilWare  و باج افزار CyberSplitter2.0 .

Tyrant کارهای زیر را روی سیستم قربانی انجام می دهد:

  1. دستگاه آسیب دیده را برای به دست آوردن داده ها اسکن می کند.
  2. لیستی از اشیاء مناسب برای رمزگذاری را ایجاد می کند، یک جفت کلید رمزگذاری و رمزگشایی تولید می کند و سپس این فایل‌ها را رمزگذاری می کند.
  3. فایل دسترسی کاربر به داده های رمزگذاری شده را مسدود می کند و بنابراین تلاش برای دسترسی به تصاویر، سخنرانی ها، موسیقی، فیلم ها و سایر مطالب غیرممکن است.

این باج افزار در یک پنجره که با عنوان Crypto Tyrant نامگذاری شده، پیامی را به کاربر نشان می دهد.

پنجره Crypto Tyrant 24 ساعت نمایش داده میشود تا کاربران را تشویق می کند به سرعت 15 دلار را به صورت Bitcoin برای رمزگشایی پرداخت کنند. تیم باج افزار Tyrant  ادعا می کند اگر پرداخت به آدرس کیف پول بیت کوین آنها منتقل نشود کلید رمز گشایی را پاک می کنند.

تنها راه قابل اعتماد برای بازگرداندن اطلاعات شما این است که هر گونه پشتیبان گیری قبلی را نصب کنید و سپس از نرم افزارهای ضد تروجان خوب استفاده کنید تا تمام فایل ها و اقدامات Tyrant از سیستم شما حذف شود.

کلید واژه: Tyrant، باج افزار، ایران

منبع خبر: http://irancybernews.org/fa/ICNA/sec/400/

DoubleLocker، باج افزار نوآورانه اندروید

محققان امنیتی ESET یک باج افزار جدید اندرویدی را کشف کرده اند که نه تنها رمزنگاری داده های کاربران را  دستکاری میکند ، بلکه با تغییر پین ورودی ، باعث قفل شدن صفحه ی کاربران نیز می شود.

DoubleLocker یک باج افزار نوآورانه اندرویدی است که سعی دارد با مکانیسم حیله گری و ابزارهای قدرتمند از کاربران کلاهبرداری کند.

Lukáš Štefanko، محقق ارشد ESET گفت: با توجه به ریشه های بدافزار بانکی ، DoubleLocker ممکن است به راحتی تبدیل به یک باج گیر بانکی شود.

این نرم افزار مخرب دو مرحله ای است که ابتدا تلاش می کنند حساب بانکی یا حساب PayPal فرد را پاک کند و پس از آن دستگاه و داده های شما را قفل کند تا مجبور باشید درخواست استفاده مجدد کنید. محققان بر این باورند که باج افزار DoubleLocker در آینده بتواند اعتبارنامه های بانکی را نیز به سرقت ببرد.

اوایل  ماه مه سال جاری، بدافزار DoubleLocker/ Androidبه عنوان یکAdobe Flash  جعلی ظاهر شد و توانست از طریق وب سایت های مخرب گسترش یابد. پس از نصب، این برنامه جعلی از کاربر درخواست فعال کردن قابلیت دسترسی به سرویس  google play را می دهد.

پس از به دست آوردن اجازه دسترسی، بدافزار از آن سوء استفاده می کند تا حقوق مدیر دستگاه را به دست آورد و خود را به عنوان یک برنامه پیش فرض نشان دهد.

Štefanko می گوید ، هر زمان که کاربر بر روی دکمه Home کلیک کند، باج افزار فعال می شود و دستگاه دوباره قفل می شود. با استفاده از این سرویس، کاربر نمی داند که با  کلیک بر روی دکمه Home نرم افزارهای مخرب را راه اندازی می کند.

پس از اجرا، DoubleLocker ابتدا پین دستگاه را به مقدار تصادفی تغییر می دهد که نه مهاجم می داند و نه کاربر. در ادامه نرم افزار مخرب تمام فایل ها را با استفاده از الگوریتم رمزنگاری AES رمزگذاری می کند.

ابن باج افزار قربانیان را مجبور به پرداخت جریمه ظرف مدت 24 ساعت می کند. با پرداخت جریمه، مهاجم کلید رمزگشایی را برای باز کردن قفل فایل ها فراهم می کند و از راه دور پین را بازنشانی می کند تا قفل دستگاه قربانی باز شود.

چگونه سیستم تان را از باج افزارDoubleLocker  محافظت کنید

به گفته محققان، تا به حال هیچ راهی برای باز کردن فایل های رمز شده پیشنهاد نشده است ، اما برای دستگاه های روت نشده، کاربران می توانند گوشی خود را بازنشانی کنند تا تلفن را باز کند و از نرم افزار DoubleLocker خلاص شود.

با این حال، برای دستگاه های آندروید روت شده با حالت اشکال زدایی، قربانیان می توانند ابزار Android Debug Bridge  را برای بازنشانی PIN بدون فرمت کردن تلفن های خود استفاده کنند.

بهترین راه برای محافظت از خودتان در برابر حملات باج افزار این است که همیشه برنامه ها را از منابع معتبر مانند Google Play Store دانلود کنید و از توسعه دهندگان تأیید شده استفاده کنید.

علاوه بر این، یک برنامه آنتی ویروس مناسب روی گوشی هوشمند خود داشته باشید که بتواند قبل از اینکه دستگاه شما را آلوده کند، این تروجان را شناسایی و مسدود کند و همیشه آن را حفظ کنید. همیشه آنتی ویروس خود را به روز نگه دارید.

منبع:

https://thehackernews.com/2017/10/android-ransomware-pin.html

شرکت های کوچک اغلب قربانی حملات سایبری می شوند

بر اساس سومین نظرسنجی سالانه Nationwide، که دوشنبه منتشر شد، تقریبا 60 درصد از کسب و کارهای کوچک در طی سال گذشته قربانی حداقل یک حملۀ سایبری شده اند و اکثریت آن ها از حمله باخبر نشده اند.

شرکت بیمه، 1069 کسب و کار را با کمتر از 299 کارمند مورد مطالعه قرار داد. در ابتدا تنها 13 درصد از شرکت های شرکت کننده گفتند که آنها قربانی یک حمله سایبری بوده اند. با این حال، پس از اینکه آنها لیستی از انواع حملات سایبری، از کلاهبرداریهای فیشینگ تا اسب های تروجان و ransomware را به آن ها نشان دادند، این رقم تا 58 درصد افزایش یافت.

مارک برون گفت: حملات Cyberattack یکی از بزرگترین تهدیدات شرکت مدرن است. مجرمان سایبری فقط به شرکت های بزرگ در وال استریت حمله نمی کنند.

شرکت هایی که هدف قرار میگیرند، اغلب دارای سیستم های امنیتی ضعیف تری هستند و پول کمتری برای سرمایه گذاری در زمینه حفاظت از تهدیدات سایبری سرمایه گذاری می کنند.

بر اساس نظرسنجی شایعترین نوع حمله، حمله به رایانه های کامپیوتری بود که 36 درصد از کل حملات را شامل می شد. بعد از آن حمله های فیشینگ با 29 درصد و سپس اسب های تروجان با 13 درصد در رتبه های بعدی هستند.

عدم آمادگی برای شرکت های مورد بررسی مشکل بزرگی بود. حدود 57 درصد از شرکت ها بر کارکنان یا فروشندگان برای حمله سایبری نظارت ندارند. حدود 76 درصد برنامه ای برای مقابله با چنین حملاتی نداشتند. 57 درصد برنامه ای برای حفاظت از داده های کارمندان نداشتند و 54 درصد از آنها برنامه ای برای محافظت از اطلاعات مشتری نداشتند.

مسائل مربوط به پول

به گفته کارن جانستون، در حملات سایبری معمولا اطلاعات کارت اعتباری و مشتریانی که از شرکت ها خرید می کنند به سرقت رفته است.

جانستون گفت، کسب و کارهای کوچک باید مطمئن شوند که سیستم های آنتی ویروس و فایروال آن ها مناسب هستند و سیستم های آنها با حفاظت از رمز عبور محافظت می شوند و به درستی نصب شده اند و با آخرین نسخه های آنتی ویروس و سیستم عامل به روز می شوند.

شرکت ها همچنین نیاز به تهیه نسخه پشتیبان از اطلاعات مهم و داده های مشتری خود دارند و باید از این اطلاعات پشتیبان گیری ابر داشته باشند.

یکی از دلایلی که کسب و کارهای کوچک مورد حملات سایبری قرار میگیرند این است که دارای داده های ارزشمند با سطح حفاظتی ضعیف هستند.

رایان کالمنر، معاون ارشد استراتژی امنیت سایبری در Proof point، خاطرنشان کرد: اکثر حملات هنوز از طریق ایمیل انجام می شود. اما اخیرا بیشتر حملات از طریق دستگاه های تلفن همراه و رسانه های اجتماعی صورت گرفته است.

منبع: https://www.technewsworld.com/story/84865.html

WannaCrypt: مروری اجمالی بر بزرگترین تهدید امنیت سایبری سال 2017

در ماه مه 2017 یک نرم افزار مخرب به نام WannaCrypt (یا WannaCry) به سیستم­های رایانه ای در سازمان های بزرگ و کسب و کارهای سراسر جهان نفوذ کرد. WannaCrypt، یک باج­افزار است و هنگامی که یک ماشین یا سیستم کامپیوتری را آلوده می­کند، تمام داده های روی آن ماشین­ ها را رمزگذاری می­کند.

هنگامی که فایل­ها رمزگذاری می­شوند، مالک ماشین یا سیستم کامپیوتری را مجبور می­کند که باج بدهند تا داده­ها را باز کند. پیشنهاد باج دارای محدودیت زمانی است و به کاربران یک شمارشگر معکوس را نشان می دهد. زیان اصلی این است که با سپری شدن زمان، قیمت باج افزایش می­یابد. هنگامی که شمارش معکوس به صفر رسید، WannaCrypt به طور خودکار اطلاعات کاربران را از بین می­برد.

پس از آن WannaCrypt توسط آژانس امنیت ملی کشف شد. اگرچه رشد و عملکرد WannaCrypt آهسته شده است، اما هنوز کاملاً از بین نرفته است. در تاریخ 21 اوت، ZDNet گزارش داد که الجی الکترونیک باج افزار WannaCrypt را در یک کیوسک در داکوتای جنوبی مشاهده کرده است. این شرکت تحت یک اقدام احتیاطی امنیتی، سیستم های کامپیوتری خود را به مدت دو روز به حالت آفلاین در آورد.

WannaCrypt بیش از 300،000 سیستم ویندوز در سراسر جهان را آلوده کرده است. این حمله یک هشدار برای همه کاربران بود تا در مورد امنیت سایبری دقت بیشتری داشته باشند. در مورد ایمیل هایی که باز می­کنید یا فایل­هایی که دانلود می­کنید، دقت بیشتری نمایید و از داده­هایتان Backup تهیه کنید تا در صورت نیاز، فایل­های خود را از ابتدا بازیابی کنید.

منبع: https://www.securemac.com/news/wannacrypt-overview-2017s-biggest-cybersecurity-threat

استفاده از تکنیک فیشینگ در پیام های بانکی خصوصی برای جلب قربانیان

کارشناسان امنیتی هشدار دادند که یک کمپین فیشینگ جدید به منظور جلب مشتریان بانکی خصوصی برای دانلود نرم افزارهای مخرب پنهانی یا بدافزارها طراحی شدهاست.

ایمیل های جعلی از تکنیک های فیشینگ کلاسی استفاده می کنند تا اهداف خود را با مهندسی اجتماعی تحت تاثیر قرار دهند، از جمله استفاده از دامنه های مجاز بانکی و پیام های ایمن که اغلب توسط مشتریان بانکداری خصوصی دریافت می شود.

Barracuda Networks اعلام کرد که “این کار برای مجرمین جذاب است، زیرا اهداف از ارزش بسیار بالایی برخوردار هستند و در حال حاضر به ارتباطات ایجاد شده از سوی بانک های خود اعتماد کامل دارند.”

فروشندگان امنیتی ادعا میکنند که در ماه گذشته تغییرات زیادی در این موضوع دیده شده است، از جمله هدف قرار دادن چندین وام دهنده از جمله بانک مرکزی امریکا و بانکداری تجاری TD.

“در برخی موارد، این پیام ها یک سند word دارند که حاوی یک اسکریپت یا متن مخرب است و زمانی که کاربر قربانی سند را باز می کند، فایل ها در دایرکتوری کاربران بر روی دستگاه های ویندوزی بازنویسی می شود. پس از دانلود، مهاجمان می توانند اسکریپت یا متن را به چیزی بسیار مخرب مانند ransom ware یا info stealer برسانند.

آموزش و آگاهی کاربر در کنار امنیت لایه ای که قابلیت های پیشرفته سندباکس و ضد فیشینگ را در اختیار وی قرار می دهد به کاهش خطر کمک می کند. بر اساس یک مطالعه جدید در این هفته، فیشینگ بعنوان عمده ترین حمله باجگیری بوده است.

به گفته IronScales، کارمندان اغلب قربانی جعل هویت(67٪)، حملات مارک یا برند (35٪) وحمله های فصلی (31٪) هستند. آموزش کارکنان مدتهاست که بخشی از بهترین تمرین های امنیتی می باشد.

منبع: www.infosecurity-magazine.com

دستورالعمل مقابله با باج‌گیر سایبری منتشر شد

 در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز مشاهده شده به نحوی که تا این لحظه بیش از ۵۰ اپراتور و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها شناسایی شده است.

در این راستا تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در  استان های کشور در حال انجام اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی از آن هستند.

این حمله سایبری با نام های مختلفی همچون WannaCry ، Wana Decrypt ، WannaCryptor و WCRY شناخته می شود و دسترسی قربانی به کامپیوتر و فایل ها را غیرممکن کرده و برای بازگرداندن دسترسی، باج خواهی می کند.

این باج افزار از یک آسیب پذیری در سرویس SMB سیستم عامل ویندوز استفاده می کند و اگرچه پیش از این، مایکروسافت این آسیب پذیری را رفع کرده بود اما کامپیوترهایی که ویندوزشان به روز نشده است، نسبت به حمله و آلودگی به این باج افزار، آسیب پذیرند.

این باج افزار در ۲ روز اولیه و از طریق حسابهای «بیت کوین» که قابل ردیابی نیست، پول زیادی دریافت کرده و گفته می شود بیش از ۲۸ پرداخت در این زمینه انجام شده است. به نحوی که در همان ساعت اولیه این حمله سایبری، ۹۰۰ دلار باج دریافت شده است.

گفته شده است که پخش این بدافزار باج گیر، از طریق استفاده از ایمیل های فیشینگ و لینک‌های آلوده در سایتهای غیرمعتبر صورت می گیرد.

حال با توجه به فعالیت این بدافزار باج گیر در کشور ما، برای پیشگیری از آلودگی به آن، باید اقدامات لازم صورت گیرد که شامل موارد زیر است:

۱. به روزرسانی سیستم عاملهای ویندوز

۲. تهیه کپی پشتیبان از اطلاعات مهم

۳. به روزرسانی آنتی ویروسها

۴. اطلاع رسانی به کاربران برای عدم اجرای فایلهای پیوست ایمیل های ناشناس

اقدامات پیشگیرانه

کاربران باید نسبت به نصب وصله MS۱۷-۰۱۰ به عنوان آخرین به روزرسانی سیستم عامل با استفاده از نصب ابزار «ویندوز آپدیت» اقدام کنند.

مایکروسافت به دلیل این مشکل، حتی در سیستم عامل های XP و ۲۰۰۳ که مدتی پشتیبانی خود را متوقف کرده بود، وصله امنیتی قرار داده است.

اگر امکان به روزرسانی سیستم عامل یا نصب وصله امنیتی وجود ندارد، باید دسترسی به سرویس SMB مسدود شود.

نحوه غیرفعالسازی SMB در ویندوزهای ۷ ، ۸ و ویستا و نیز ویندوز سرورهای ۲۰۰۸، ۲۰۰۸ R۲ و ۲۰۱۲ و بعد از آن از طریق پاورشل (POWERSHELL ) از طریق این لینک قابل دریافت است.

کاربران به عنوان راهکار جایگزین باید پورتهای ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندند.

مرکر ماهر وابسته به معاونت امنیت سازمان فناوری اطلاعات ایران از کلیه سازمانها و شرکت ها خواسته در صورت برخورد با آلودگی به باج افزار فوق، در اسرع وقت موارد را با شماره تلفن های ۲۲۱۱۵۹۵۰ و ۴۲۶۵۰۰۰ درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال کنند.

منبع:
خبرگزاری مهر

شناسایی بیش از ۲۰۰ قربانی آلوده به باج افزار WannaCry در فضای سایبر کشور

در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است. تا کنون بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.

این گزارش حاکی است، این حمله را می‌توان بزرگترین حمله آلوده نمودن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته می‌شود. این باج‌افزار همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.

باج افزار جدیدی ویندوزهای سرور ۲۰۰۸ و ۲۰۱۲ و ویندوز های دسکتاپ را هدف گرفته است این باج افزار که از رخنه امنیتی (باگ) سرویس SMBV1 استفاده می کند و تاکنون هزاران سرور و دسکتاپ را آلوده کرده است. باج‌افزار‌ها گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود می‌کنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند.

باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.

آدرس دریافت پچ امنیتی

 روش مقابله با این باج افزار :

سرویس SMBv1 خود را به روش زیر غیرفعال کنید :

برای ویندوز سرور ۲۰۰۸ و ۲۰۱۲ – ویندوز دسکتاپ ویستا و هشت :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– گزینه Power Shell را از جستجوی ویندوز پیدا کرده و بر روی آن کلیک راست کنید سپس گزینه Run as Administrator را بزنید

– در Power Shell دو کامند زیر را اجرا بفرمایید

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

– بعد از اجرای کامندها سرور را ریستارت کنید.

برای ویندوزهای سرور ۲۰۱۲r2 و بالاتر :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– به Server Manager رفته و بر روی منوی Manage کلیک کرده و گزینه Remove Roles and Features را باز کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– سرور را ریستارت کنید

برای ویندوز دسکتاپ ۸.۱ و بالاتر :

– Control Panel ویندوز را باز کنید بر روی Programs کلیک کرده و گزینه Turn Windows Features on or off را کلیک کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– ویندوز را ریستارت کنید

شدیدا توصیه می شود بعد از غیرفعال سازی سرویس  SMB  ویندوز را به آخرین نسخه به روز رسانی کرده و مجددا راه اندازی کنید.