باج‌افزار Hype

باج‌افزار Hype نمونه‌ای بارز از بدافزارهای مدرن رمزگذاری فایل است: این باج‌افزار داده‌های قربانیان را به هم می‌ریزد، یک یادداشت باج‌خواهی از خود به جا می‌گذارد و یک پسوند و شناسه متمایز به فایل‌های رمزگذاری شده اضافه می‌کند. محافظت از دستگاه‌ها در برابر تهدیداتی مانند Hype بسیار مهم است زیرا پس از اتمام رمزگذاری، فایل‌ها معمولاً بدون کلید خصوصی مهاجم قابل بازیابی نیستند و پرداخت پول به مهاجمان هیچ تضمینی برای بازیابی ارائه نمی‌دهد و در عین حال آنها را به ارتکاب جرایم بیشتر تشویق می‌کند.

کاری که هایپ انجام می‌دهد - خلاصه رفتار

تجزیه و تحلیل نشان می‌دهد که Hype فایل‌های کاربر را هدف قرار می‌دهد و نام آنها را تغییر می‌دهد تا شامل اطلاعات تماس مهاجمان و یک شناسه قربانی منحصر به فرد باشد، سپس یک پسوند جدید اضافه می‌کند. در نمونه‌های تجزیه و تحلیل شده، فایل‌ها به الگویی مشابه زیر تغییر نام می‌دهند:
'originalname.EXT' → 'originalname.EXT.EMAIL=[ranshype@gmail.com
]ID=[000C91DC347DF549].هیاهو'

یک یادداشت باج‌خواهی با نام «hype Ransmoware.txt» منتشر می‌شود؛ این یادداشت ادعا می‌کند که سیستم «محافظت نشده» است، پیشنهاد «رفع» مشکل را می‌دهد و به قربانیان دستور می‌دهد که یک فایل آزمایشی برای اثبات رمزگشایی ارسال کنند. این یادداشت دو آدرس ایمیل به آدرس‌های «ranshype@gmail.com» ارائه می‌دهد.
و 'ranshype@tuta.io' و یک شناسه تلگرام (@hype20233) به عنوان راه‌های ارتباطی.

نحوه‌ی عملکرد حمله - بررسی فنی

هایپ از چرخه عمر رایج باج‌افزارها پیروی می‌کند. پس از اجرای اولیه (اغلب از طریق یک پیوست مخرب، دانلودکننده، اکسپلویت یا نرم‌افزار کرک‌شده)، فضای ذخیره‌سازی قابل دسترسی را برای یافتن انواع فایل‌های هدف اسکن می‌کند، آنها را با یک کلید متقارن رمزگذاری می‌کند، سپس معمولاً آن کلید را با استفاده از یک مکانیسم دوم که در اختیار مهاجم است، رمزگذاری یا محافظت می‌کند. فایل‌های رمزگذاری شده برای مشخص کردن مالکیت و هدایت قربانیان به یادداشت باج‌خواهی تغییر نام می‌دهند. از آنجا که رمزگشایی به کلید مهاجم یا یک نسخه پشتیبان تهیه‌شده قبلی نیاز دارد، قربانیانی که نسخه پشتیبان قابل اعتمادی ندارند، گزینه‌های بازیابی کمی دارند.

تأثیر و بازیابی

باج‌افزارهایی مانند Hype باعث از دست رفتن داده‌ها، اختلال در عملیات و احتمال از دست رفتن کسب‌وکارهای پایین‌دستی یا افشای نظارتی می‌شوند. بازیابی بدون پشتیبان‌گیری بعید است: اکثر فایل‌های رمزگذاری‌شده بدون ابزار رمزگشایی مهاجم قابل بازیابی نیستند. به قربانیان اکیداً توصیه می‌شود که فرض نکنند پرداخت، بازگشت فایل را تضمین می‌کند - مهاجمان ممکن است رمزگشایی کارآمدی ارائه ندهند، درخواست پرداخت بیشتر کنند یا از داده‌های دزدیده‌شده دوباره استفاده کنند. مسیر بازیابی صحیح معمولاً شامل موارد زیر است: ایزوله کردن سیستم‌های آلوده، پاک کردن و بازیابی از پشتیبان‌گیری‌های شناخته‌شده و معتبر، و مقاوم‌سازی زیرساخت‌ها برای جلوگیری از آلودگی مجدد.

بهترین شیوه‌های امنیتی برای کاهش ریسک

پشتیبان‌گیری منظم و بازیابی‌های آزمایش‌شده : حداقل دو نسخه از داده‌های حیاتی را نگه دارید، یکی محلی برای بازیابی سریع و دیگری خارج از سایت یا در یک سرویس ابری، و مطمئن شوید که پشتیبان‌ها ایزوله هستند تا باج‌افزار نتواند به آنها دسترسی پیدا کند. بازیابی‌ها را مرتباً آزمایش کنید.

مدیریت وصله‌ها و موجودی : موجودی نرم‌افزار و دارایی‌ها را به‌روز نگه دارید و وصله‌های امنیتی را به‌موقع روی سیستم عامل‌ها، برنامه‌ها و دستگاه‌های شبکه اعمال کنید.

اصل حداقل امتیاز و تقسیم‌بندی شبکه : مجوزهای کاربر را محدود کنید تا فقط کسانی که نیاز به دسترسی دارند، به آن دسترسی داشته باشند؛ شبکه‌ها را تقسیم‌بندی کنید تا یک نقطه پایانی آلوده نتواند آزادانه به پشتیبان‌ها، سرورها یا سایر بخش‌ها دسترسی پیدا کند.

تشخیص و پاسخ به نقاط پایانی (EDR) + ضدبدافزار : از EDR/آنتی‌ویروس مدرن با قابلیت تشخیص رفتاری که قادر به مسدود کردن یا هشدار دادن در مورد فعالیت‌های رمزگذاری مشکوک است، استفاده کنید؛ هشدارها را برای کاهش نویز تنظیم کنید و بررسی به موقع توسط انسان را تضمین کنید.

امنیت ایمیل و وب : از فیلترینگ پیشرفته ایمیل استفاده کنید، پیوست‌های مشکوک و اسناد دارای ماکرو را مسدود کنید و فیلترینگ وب را برای جلوگیری از دسترسی کاربران به سایت‌های مخرب شناخته شده پیاده‌سازی کنید.

احراز هویت چند عاملی (MFA) : برای دسترسی از راه دور، حساب‌های مدیریتی و سرویس‌های ابری، احراز هویت چند عاملی الزامی است تا خطر تصاحب حساب کاهش یابد.

اجتناب از پرداخت و ادامه دادن

پرداخت باج یک گزینه پرخطر و اغلب بی‌اثر است؛ این کار بازگشت فایل را تضمین نمی‌کند و در واقع بودجه بیشتری را برای عملیات مجرمانه فراهم می‌کند. در عوض، منابع را بر مهار، بازیابی از پشتیبان‌های امن و بهبود وضعیت امنیتی خود متمرکز کنید تا حمله مشابهی دوباره نتواند موفق شود. اگر فاقد توانایی داخلی هستید، از شرکت‌های معتبر واکنش به حوادث و پزشکی قانونی برای کمک استفاده کنید. اقدام سریع و تخصصی، آسیب را کاهش می‌دهد و احتمال بازیابی کامل را افزایش می‌دهد.