Avanzi Ransomware
در جریان بررسی نرم افزارهای بالقوه تهدید کننده، محققان امنیت سایبری یک نوع باج افزار به نام آوانزی را شناسایی کرده اند. پس از نفوذ موفقیت آمیز به رایانه، آوانزی مجموعه ای از اقدامات مضر را اجرا می کند، از جمله رمزگذاری فایل ها، تغییر نام فایل آنها، نمایش یادداشت باج به قربانیان و ایجاد یادداشت اضافی در فایل 'info.txt'.
به محض آلوده شدن، Avanzi عناصر خاصی را به نام فایلها اضافه میکند، یعنی شناسه قربانی، آدرس ایمیل 'avanziahelp@cock.li' و پسوند 'avan'. برای مثال، فایلی مانند «1.png» را به «1.png.id-9ECFA74E.[avanziahelp@cock.li].avan» و «2.pdf» را به «2.png.id-9ECFA74E» تبدیل میکند.[ avanziahelp@cock.li].avan' و غیره. یک جنبه مهم در مورد باج افزار Avanzi ارتباط آن با خانواده بدنام بدافزار Dharma است.
باج افزار Avanzi می تواند آسیب جدی به دستگاه های در معرض خطر وارد کند
یادداشت باج صادر شده توسط باجافزار آوانزی با اعلامیهای آغاز میشود که به قربانیان اطلاع میدهد که تمامی فایلهای آنها رمزگذاری شده است، اما احتمال بازیابی آنها را تضمین میکند. به قربانیان دستور داده می شود تا در یک بازه زمانی دقیق 12 ساعته از طریق آدرس ایمیل مشخص شده (avanziahelp@cock.li)، با یک ایمیل جایگزین (avanzirest@tuta.io) که برای نمونه هایی از پاسخ تاخیری ارائه می شود، با مهاجمان تماس برقرار کنند.
برای نشان دادن ظاهری از حسن نیت، یادداشت قول رمزگشایی رایگان حداکثر تا سه فایل را می دهد و شرایط خاصی را برای واجد شرایط بودن مشخص می کند. علاوه بر این، به قربانیان راهنمایی در مورد به دست آوردن بیت کوین، روش ترجیحی پرداخت باج، ارائه می شود. این یادداشت به صراحت در مورد برخی اقدامات، مانند تغییر نام فایل یا تلاش برای رمزگشایی شخص ثالث، برای جلوگیری از از دست رفتن دائمی داده ها یا حساسیت به تاکتیک ها هشدار می دهد.
نکته قابل توجه استراتژی آوانزی برای به خطر انداختن مکانیسم دفاعی اولیه سیستم هدف با غیرفعال کردن فایروال است. علاوه بر این، کپیهای حجمی سایه را حذف میکند و در نتیجه راههای بالقوه برای بازیابی اطلاعات را میبندد. این باجافزار از آسیبپذیریهای سرویسهای پروتکل دسکتاپ از راه دور (RDP) برای تسهیل دسترسی غیرمجاز استفاده میکند.
آوانزی از حملات brute force و فرهنگ لغت برای سوء استفاده از اعتبارنامه های ضعیف حساب، عمدتاً در سیستم هایی که از خدمات RDP استفاده می کنند، استفاده می کند. تداوم بدافزار بر روی سیستم آلوده نگرانی های قابل توجهی را ایجاد می کند. آوانزی علاوه بر رمزگذاری و به خطر انداختن سیستم، دادههای مکان را جمعآوری میکند و میتواند به صورت انتخابی مکانهای از پیش تعریفشده را حذف کند و در نتیجه تأثیر و مدت آن را افزایش دهد.
چگونه از دستگاه های خود در برابر تهدیدات باج افزار محافظت کنیم؟
محافظت از دستگاه ها در برابر تهدیدات باج افزار شامل اتخاذ یک رویکرد چند لایه برای افزایش امنیت سایبری کلی است. در اینجا برخی از اقدامات و توصیه های کلیدی وجود دارد:
- نرم افزار را به روز نگه دارید : سیستم عامل ها، نرم افزارهای امنیتی و برنامه های کاربردی را به طور منظم به روز کنید. بهروزرسانیهای نرمافزار اغلب شامل وصلههای امنیتی هستند که آسیبپذیریهای مورد سوء استفاده باجافزار را برطرف میکنند.
- نصب نرمافزار ضد بدافزار قابل اعتماد : از نرمافزارهای امنیتی معتبر برای محافظت در زمان واقعی در برابر تهدیدات مختلف، از جمله باجافزار، استفاده کنید. مطمئن شوید که نرم افزار طوری تنظیم شده است که به طور خودکار به روز رسانی شود و اسکن های منظم را انجام دهد.
- پشتیبان گیری از داده های مهم : به طور مرتب از داده های حیاتی در یک هارد دیسک خارجی یا یک سرویس ابری ایمن نسخه پشتیبان تهیه کنید. این تضمین می کند که حتی اگر دستگاه شما به خطر بیفتد، می توانید فایل های خود را بدون تسلیم شدن در برابر باج گیری بازیابی کنید.
- از گذرواژههای قوی و منحصر به فرد استفاده کنید : برای همه حسابها و دستگاهها، گذرواژههای قوی و منحصربهفرد را پیادهسازی کنید. از استفاده از رمزهای عبور به راحتی قابل حدس زدن خودداری کنید و از یک مدیر رمز عبور برای پیگیری اعتبار پیچیده استفاده کنید.
- در مورد پیوستها و پیوندهای ایمیل احتیاط کنید : مراقب ایمیلهای غیرمنتظره، بهویژه ایمیلهای حاوی پیوستها یا پیوندها باشید. از باز کردن پیوستها یا کلیک کردن روی پیوندها از منابع ناشناس یا مشکوک خودداری کنید، زیرا ممکن است حاوی باجافزار یا بدافزار دیگری باشند.
- خود و کاربران را آموزش دهید : از آخرین تهدیدات امنیت سایبری مطلع شوید و خود و سایر کاربران را در مورد خطرات کلیک بر روی پیوندهای ناشناس، دانلود فایل های مشکوک یا بازدید از وب سایت های غیرقابل اعتماد آموزش دهید.
با اتخاذ این شیوهها، کاربران میتوانند به میزان قابل توجهی خطر قربانی شدن باج افزار را کاهش دهند و وضعیت امنیتی کلی دستگاههای خود را افزایش دهند.
متن کامل یادداشت باجگیری ایجاد شده توسط باجافزار آوانزی در دستگاههای نقض شده به شرح زیر است:
'Avanzi
All your files have been encrypted!
Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.ioFree decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید.فایل متنی رها شده توسط باج افزار آوانزی حاوی پیام زیر است:
تمام اطلاعات شما برای ما قفل شده است
میخوای برگردی؟
ایمیل avanziahelp@cock.li یا avanzirest@tuta.io را بنویسید
