چگونه از حملهی خرگوش بد در امان بمانیم
باج افزار خرگوش بد چیست
خرگوش بد چیست: شاید با شنیدن اسم خرگوش تصور و فرضهایی بسیار به ذهنتان برسد و به خود بگویید که یک خرگوش مگر چه آسیبی ممکن است به شخصی برساند؟! در این مقاله ما میخواهیم در مورد باجافزاری صحبت کنیم که به نام خرگوش بد شناخته شده است و بهطور متوسط توانسته در یک هفته ۲۰۰ الی ۳۰۰ سازمان بزرگ روسیه و اوکراینی را مورد هدف قرار دهد و از آنان باج دریافت کند. در ادامه شما را با مفهوم خرگوش بد چیست آشنا میکنیم.
خرگوش بد امروزه در رتبهی سوم خطرناکترین باج افزارهای جهان وجود دارد که سیستمهای زیادی را مورد هدف خود قرار داده و از آنان خواستار پرداخت باج شده است. خرگوش بد از دو باجافزار NotPetya و WannaCry تشکیل شده است که اکثریت کدهای NotPetya را با خود همراه دارد.
خرگوش بد چگونه کار میکند
باج افزار خرگوش بد اکثریت دادههای قربانی را رمزگذاری میکند و سیستم را کاملا با ویروس خود آلوده میکند به صورتی که دسترسی کاربر به رایانه خود دچار اختلال میشود یا در مواقعی مشاهده شده که دسترسی کاربر به سیستم رایانه خود قطع شده است و دیگر توانایی راهیابی به اطلاعات و دادههای خود ندارد.
خرگوش بد به نوعی پسر خاله NotPetya محسوب میشود زیرا از کدهای مشابه NotPetya مانند exploits برای انتشار و آلوده کردن سیستم استفاده میکند. باج افزار خرگوش بد بیشتر بر شرکتهای رسانه ای و بسیار مهم تمرکز دارد.
ناگفته نماند که این باج افزار بعد از گرفتن باج از قربانی خود هیچ تضمینی به کاربر نمیدهد که اطلاعات او را رمزگشایی کند یا آنان را بازگرداند. اما این موضوع در NotPetya کاملا متفاوت است و باج افزار NotPetya بعد از گرفتن باج از قربانی خود تمام اطلاعات او را رمزگشایی و به او بازمیگرداند.
باج افزار خرگوش بد بیشتر در مواقعی مشاهده شده است که برنامه Flash Player طی یک بروزرسانی جعلی ویروس باج افزار را وارد رایانه میکند. خبر خوب اینجاست که باج افزار خرگوش بد به تنهایی نمیتواند سیستم رایانه را آلوده کند بلکه تنها زمانی میتواند هدف خود را به اجرا در بیاورد که کاربر روی پیوست یا پیوندی که مخرب است یا آلوده به باج افزار خرگوش بد است کلیک کند، باج افزار در این زمان شروع به کار میکند.
تاریخچه باج افزار خرگوش بد
صبح روز سه شنبه 24 اکتبر 2017 ، سازمانهای روسیه و اوکراین گزارش کردند که با شیوع باج افزاری که فعالیت آنها را فلج میکند مورد اصابت قرار گرفتهاند. براساس گزارشات منابع مختلف موارد پراکندهای نیز در ترکیه ، آلمان ، بلغارستان و ژاپن نیز مشاهده شده است.
این بدافزار با عنوان Bad Rabbit یک کد باج افزار است که برای رمزگذاری و قفل کردن پروندهها در نقاط مختلف رایانه و سیستم کاربر طراحی شده است. باج افزار خرگوش بد بعد از آلوده کردن سیستم از قربانی تقاضای پرداخت باج میکند.Bad Rabbit همچنین نام یک وب سایت دارک (Dark Web site) است.
باج افزار Bad Rabbit در روسیه بیشتر به سرورهای نهادهای دولتی حمله کرد و سرورهای آنان را از کار انداخت اما در اوکراین به سازمانهای مهم زیرساختی در بخش حمل و نقل ضربه زد. یکی از قربانیان باج افزار خرگوش بد در کشور اوکراین فرودگاه اوسا (Odessa airport) بود که در این امر، باج افزار منجر شد که پروازها با تاخیر بیشتری مواجه شوند و همچنین اطلاعات مسافران دچار نقض و اختلال شود.
Bad Rabbit سومین شیوع ویروس باج افزار مخرب به دنبال WannaCry و NotPetya است که در سه ماهه دوم سال 2017 بسیاری از سازمانها را تحت تأثیر قرار داده است.
براساس اطلاعات موجود در حال حاضر میتوانیم بگوییم برخلاف اکثر باج افزارهایی با انگیزه مالی و با استفاده از ایمیل یا پیام سازمان یا سیستمی را مورد هدف قرار می دهند. Bad Rabbit از طریق ایمیل یا پیام پخش نمیشود و همچنین هدف مشخصی مانند باج افزارهای دیگر ندارد (دریافت باج از قربانی).
طبق گزارشات و بررسی IBM X-Force که هدف آن این است که میلیاردها پیام اسپم (spam) و malspam را تجزیه و تحلیل کند، IBM X-Force ثابت کرده است که خرگوش بد از طریق کمپین پیام یا ایمیل انتشار پیدا نمیکند. برخی از فعالان جامعه امنیتی معتقدند که شیوع باج افزار خرگوش بد هدف مشخص و معینی دارد که ممکن است ماهها یا حتی سالها برای آن برنامهریزی شده باشد.
باج افزار خرگوش بد چگونه حمله میکند
طبق گزارشات و یافتههای مهندسین شناسایی بدافزارها، باج افزار Bad Rabbit یک نوع باج افرار است که به درایو (drive-by attack) رایانه حمله میکند و آن را مورد هدف خود قرار میدهد.
قربانیان یک نصبکننده جعلی Adobe Flash را از وب سایتهای آلوده بارگیری و دانلود میکنند و به صورت دستی فایل exe را راهاندازی میکنند، بنابراین خودشان با دستان خودشان منجر به آلوده شدن رایانه خود میشوند. پس از نصب نرم افزار، باج افزار Bad Rabbit تمامی دادهها و MBR رایانه (Master Boot Record) را رمزگذاری میکند.
باج افزار از طریق تعدادی وب سایت هک شده در رسانههای روسی، تعداد زیادی از دستگاهها را آلوده کرده است. خرگوش بد با استفاده از روشهایی مشابه روشهای استفاده شده در حمله ExPetr، علیه بسیاری از نهادهای دولتی اقدام کرده است.
آزمایشگاه کسپراسکای (Kaspersky) اینگونه حملات باج افزار را شناسایی میکنند:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM: Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
چگونه از باج افزار خرگوش بد (Bad Rabbit) جلوگیری کنیم
برای اینکه بتوانید از باج افزار خرگوش بد جلوگیری کنید چند راه به شما پیشنهاد میکنیم که بهتر برای حفظ امنیت سیستم خود از آنان بهرهمند شوید. این موارد عبارتاند از:
- ابتدا باید از اطلاعات خود نسخه پشتیبان تهیه کنید.
- پایگاه دادههای آنتی ویروس را بروز کنید.
- بروزرسانی جعلی Flash Player را روی رایانه خود نصب نکنید.
- به آنها به هیجوجه پول ندهید.
- Span Managed Security را در رایانه خود نصب و فعال کنید. خدمات امنیتی sms شامل: مراقبت کامل از همه قسمتهای سیستم، از مدیریت آسیبپذیری گرفته تا شناسایی و جلوگیری از تهدیدات پیشرفته است.
- اطمینان حاصل کنید که تمام مکانیزمهای محافظتی مطابق همیشه فعال باشند و اینکه اجزای KSN و System Watcher غیرفعال نباشند.
- محدود کردن اجرای پروندهها با مسیرهای c: windowsinfpub.dat و Windowscscc.dat C: در Kaspersky Endpoint Security.
اگر بنابر هر دلیلی به این باج افزار آلوده شدید میتوانید اقدامات زیر را انجام دهید که عبارتاند:
- با نیروی انتظامی و پلیس فتا تماس حاصل فرمایید.
- از تمامی سرور یا سایر تجهیزات شبکه خود جدا شوید.
- دامنه مشکلدار سرورها را حذف کنید.
- از ابزارهای رایگان برای رمزگشایی باج افزار استفاده کنید. اما به آنها کاملا اعتماد نکنید، آنها برای هر نوع باج افزاری کار نمیکنند و ممکن است به شما در برگرداندن پرونده کمک نکنند.
امیدوارم مقالهی خرگوش بد چیست تا به این برای شما مفید و آموزنده بوده باشد.