Skip links

RANDSOMWARE

آلودگی به باج‌افزار RYUK ، چاپ و توزیع چندین روزنامه اصلی آمریکا را از ابتدای هفته با اختلالاتی جدی روبرو کرده است.

در روز شنبه توزیع روزنامه‌های لس‌آنجلس تایمز و سن‌دیگو یونیون تریبون بر اثر آلودگی به باج‌افزار Ryuk  با تاخیر انجام شد. نسخه ساحل غربی دو روزنامه وال استریت جورنال و نیویورک تایمز هم که چاپ آنها توسط لس‌آنجلس تایمز انجام می‌شود از این حمله تاثیر پذیرفته‌اند.

Ryuk  باج‌افزار جدیدی است که بصورت هدفمند فعالیت خود را انجام می‌دهد. تمام باج‌افزارهای هدفمند از یک روش متداول برای آلوده ‌کردن اهداف خود استفاده می‌کنند. در این روش، مهاجمان:

۱ – از طریق ساختار ضعیف  (Remote Desktop Protocol) وارد شبکه قربانی می‌شوند.

۲ – اختیارات خود را تا سطح مدیر سیستم افزایش می‌دهند.

۳ – از سطح دسترسی جدید خود برای غلبه بر نرم‌افزارهای امنیتی استفاده می‌کنند.

۴ – قبل از رمزگذاری فایل‌های قربانی، باج‌افزار خود را تا حد امکان گسترش می‌دهند.

۵ – یاد داشت ‌های درخواست باج را برای رمزگشایی فایل‌ها قرار می‌دهند.

۶ – در انتظار تماس قربانی از طریق ایمیل می‌مانند.

هکرها با استفاده از باج‌افزارهای هدفمند تلاش زیادی برای به‌دستآوردن اختیارات مدیریتی انجام می‌دهند، زیرا این کار به آنها اجازه می‌دهد که خسارات زیادی به بار آورند و قربانی را مجبور به پرداخت باج درخواستی کنند.

زمانی که باج‌افزار Ryuk  اجرا می‌شود، ابتدا بدنه یا payload  خود را اجرا کرده و سپس رد خود را با حذف کردن خودش از بین می‌برد. این payload  خود را با ورود به فرآیندهای اجرایی  NT AUTHORITY، مخفی کرده و از csrss.exe ، explorer.exe   و lsass.exe   اجتناب می‌کند.

برای به حداکثر رساندن خسارات، بدافزار تلاش می‌کند لیستی از فرآیندها و سرویس‌ها، مانند موارد مرتبط با نرم‌افزارهای امنیتی، را قبل از رمزگذاری فایل‌ها، از کار بیندازد. هنگامی که  Ryuk رمزگذاری فایل‌های قربانی را به پایان می‌رساند، تلاش می‌کند هر گونه نسخه پشتیبان را حذف کند تا توانایی بازگشت به شرایط قبل از حمله را از قربانی سلب کند. Ryuk   تقاضای مبلغی بين ۱۵ تا ۵۰ بيت كوين (بين ۵۰۰۰۰ تا ۱۷۰۰۰۰ دلار) می‌کند.

هر باج‌افزار دارای یک آدرس ایمیل و شناسه بیت‌کوین منحصر به فرد است. این امر باعث می‌شود که ردیابی پرداخت‌ها دشوارتر شود، با این حال Ryuk  در ماه آگوست در مدت دو هفته بیش از ۶۰۰ هزار دلار درآمد داشته است.

برای مقابله با چنین باج‌افزارهایی توصیه می‌شود تا:

  • دسترسی RDP محدود شود.
  • احرازهویت چندعاملی الزامی شود.
  • پس از چندین تلاش ناموفق برای ورود، حساب کاربری مسدود شود.
  • دسترسی به RDP با اتصال امن انجام شود.
  • کاربران آموزش دیده شوند تا از گذرواژه‌های قوی استفاده کنند.

Leave a comment