باجافزاری که ایرانی ها را تهدید می کند
بررسیهای مرکز ماهر نشان میدهد که باجافزاری به نام TYRANT با الهام از یک باجافزار متنباز در فضای سایبری منتشر شده است که از صفحه باجخواهی به زبان فارسی به شکل زیر استفاده میکند و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شدهاست. این باجافزار در محیط سیستمعاملهای ویندوزی عمل میکند. تا این لحظه تقریبا فقط نیمی از آنتیویروسهای معتبر، قادر به شناسایی این بدافزار هستند.
این باجافزار با قفل کردن دسترسی به سامانههای قربانی و رمز کردن فایلهای سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیر قابل پیگیری تلگرام (@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده میکند.
در گزارشهای واصله، روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکند که در حقیقت حاوی بدافزار است. البته با توجه به ماهیت حمله، استفاده از دیگر روشهای مرسوم برای توزیع این بدافزار، ازجمله پیوست ایمیل، انتشار از طریق وبسایت آلوده یا RDP حفاظتنشده نیز محتمل است. روش انتقال باج که این باجافزار از آن استفاده میکند، Web money است و سازنده باجافزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر گرفتهاست. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وبسایتهای فارسی ارائهکننده این نوع از ارز الکترونیکی توسط باجافزار معرفی میشوند.
تحلیلهای اولیه نشان میدهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگتر باشد، چرا که با وجود مشاهدهشدن کدهای مربوط به رمزگذاری فایلها، گاهی باجافزار موفق به رمزگذاری فایلهای قربانی نمیشود و از آن مهمتر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریاستارت کردن سیستم نمیشود. با این وجود به نظر نمیرسد که تاکنون از محل این باجافزار خسارت قابل توجهی ایجاد شدهباشد.
برای پیشگیری باید از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک پرهیز شود. از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها خودداری شود. دقت ویژه در بهروزرسانی دایم سیستمعامل و آنتیویروس صورت گیرد. از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی پرهیز شود و از مجوز دسترسی Administrator بر روی سیستمهای کاربران سازمان استفاده نشود.
