NoEscape Ransomware
NoEscape یک تهدید باج افزار است که بر اساس مدل Ransomware-as-a-Service عمل می کند، جایی که به مجرمان دیگری که به عنوان وابسته یا مشتری خدمت می کنند ارائه می شود. این سازنده باج افزار یک رابط کاربر پسند ارائه می دهد که به شرکت های وابسته اجازه می دهد تا پیکربندی های مختلف را در حین ساخت فایل های اجرایی باج افزار سفارشی کنند. هدف اصلی NoEscape رمزگذاری فایل ها، گروگان نگه داشتن آنها و درخواست باج است.
NoEscape شباهت هایی به باج افزار دیگری به نام آوادون دارد. در یک نمونه خاص، NoEscape نام فایلها را با اضافه کردن رشتهای از کاراکترهای تصادفی تغییر میدهد و یک فایل متنی به نام «HOW_TO_RECOVER_FILES.txt» تولید میکند که حاوی یک یادداشت باج است. علاوه بر این، NoEscape یک سری دستورات را برای حذف کپیهای حجم سایه و پشتیبانگیری از سیستم انجام میدهد و در نتیجه از بازیابی آسان فایلهای رمزگذاری شده جلوگیری میکند.
تهدیدهای باج افزاری مانند NoEscape بر طیف گسترده ای از انواع فایل ها تأثیر می گذارد
یادداشت ارسال شده برای قربانیان تهدید به عنوان یک ارتباط از سوی هکرها عمل می کند که خود را گروهی به نام NoEscape معرفی می کنند. به قربانیان اطلاع می دهد که شبکه آنها در معرض خطر قرار گرفته و آلوده شده است. هدف از این حمله رمزگذاری تمامی فایل های مربوطه، از جمله اسناد شرکت، پایگاه های داده و سایر داده های حیاتی ذخیره شده در شبکه است.
این یادداشت در ادامه نشان میدهد که مجرمان به اسناد محرمانه، دادههای شخصی و اطلاعات حساس قربانیان نیز دسترسی غیرمجاز به دست آوردهاند. این یک لایه اضافی از تهدید و آسیب احتمالی به قربانیان اضافه می کند.
برای دسترسی مجدد به فایل های رمزگذاری شده خود، دستورالعمل هایی در یادداشت به قربانیان ارائه می شود. آنها باید در ازای یک ابزار بازیابی تخصصی، مبلغی را پرداخت کنند. مطابقت با این تقاضا مورد تاکید است، زیرا عدم انجام این کار باعث می شود که فایل های تحت تاثیر به طور نامحدود رمزگذاری شوند. علاوه بر این، یادداشت هشدار میدهد که اطلاعات دانلود شده برای فروش در دارک نت راهاندازی میشود که بر جدی بودن وضعیت تأکید میکند.
برای تسهیل فرآیند پرداخت، از قربانیان دعوت می شود مرورگر TOR را دانلود و نصب کنند که دسترسی ناشناس به اینترنت را فراهم می کند. در داخل یادداشت، یک لینک مشخص ارائه شده است که قربانیان باید با استفاده از مرورگر TOR به آن مراجعه کنند. از آنها خواسته می شود که شناسه منحصر به فرد خود را ارائه دهند و دستورالعمل های ارائه شده را برای ادامه پرداخت دنبال کنند.
این یادداشت صراحتاً به قربانیان از هرگونه تغییر یا بازیابی مستقل فایل هشدار می دهد. با توجه به اظهارات یادداشت، تنها عاملان این توانایی را دارند که فایل های رمزگذاری شده را بازیابی کنند، بنابراین به این معنی است که هرگونه تلاش غیرمجاز برای بازیابی بیهوده خواهد بود.
داشتن امنیت کافی در برابر حملات باج افزار بسیار مهم است
حفاظت از دستگاهها و دادهها در برابر عفونتهای باجافزاری مستلزم اجرای مجموعهای از اقدامات برای اطمینان از دفاع قوی در برابر تهدیدات احتمالی است. کاربران می توانند اقدامات زیر را برای محافظت از دستگاه ها و داده های خود انجام دهند:
-
- به روز رسانی منظم نرم افزارها و سیستم عامل ها: به روز نگه داشتن همه نرم افزارها، از جمله سیستم عامل ها، بسیار مهم است. بهروزرسانیهای نرمافزار اغلب حاوی وصلههای امنیتی هستند که آسیبپذیریهایی را که میتوانند توسط باجافزار مورد سوء استفاده قرار گیرند، برطرف میکنند.
-
- از نرم افزارهای امنیتی معتبر استفاده کنید: نرم افزار ضد بدافزار قابل اعتماد را نصب و به طور مرتب به روز کنید. این برنامه میتواند به شناسایی و مسدود کردن عفونتهای باجافزار کمک کند، و همچنین محافظت در زمان واقعی در برابر تهدیدات نوظهور را فراهم میکند.
-
- هنگام تعامل با پیوندها یا باز کردن پیوست ها احتیاط کنید: باج افزار اغلب از طریق پیوندهای مخرب و پیوست های ایمیل منتشر می شود. کاربران باید هوشیار باشند و سعی کنند روی پیوندهای مشکوک کلیک نکنند یا پیوستها را از منابع ناشناخته یا نامعتبر باز نکنند.
-
- فعال کردن پشتیبانگیری خودکار: پشتیبانگیری منظم از اطلاعات ضروری است. راه حل های پشتیبان گیری خودکار می توانند اطمینان حاصل کنند که فایل ها به طور منظم و ایمن در یک دستگاه ذخیره سازی خارجی یا یک سرویس مبتنی بر ابر ذخیره می شوند. این به محافظت در برابر از دست دادن داده ها در صورت حمله باج افزار کمک می کند.
-
- پیاده سازی رمزهای عبور قوی و منحصر به فرد: استفاده از رمزهای عبور قوی و پیچیده و اجتناب از استفاده مجدد از رمز عبور در چندین حساب بسیار مهم است. استفاده از ترکیب حروف کوچک و بزرگ، اعداد و کاراکترهای خاص معیار خوبی است.
-
- فعال کردن احراز هویت دو مرحله ای (2FA): فعال کردن 2FA شامل یک پوشش امنیتی اضافی با نیاز به مرحله تأیید اضافی، مانند ارسال کد منحصر به فرد به دستگاه تلفن همراه، هنگام ورود به حساب است. این می تواند به مسدود کردن دسترسی غیرمجاز حتی در صورت به خطر افتادن رمزهای عبور کمک کند.
-
- آموزش و آموزش کاربران: کاربران باید در مورد خطرات مرتبط با باج افزار آموزش ببینند و در مورد روش های محاسباتی ایمن آموزش ببینند. این شامل تشخیص ایمیل های مشکوک، اجتناب از کلیک بر روی لینک های ناشناس و احتیاط در هنگام دانلود یا نصب نرم افزار است.
-
- محدود کردن امتیازات کاربر: به کاربران باید فقط امتیازات لازم برای انجام وظایفشان اعطا شود. محدود کردن امتیازات اداری میتواند با محدود کردن توانایی نصب نرمافزارهای مخرب یا ایجاد تغییرات غیرمجاز، به کاهش تأثیر عفونت باجافزار کمک کند.
با پیروی از این اقدامات پیشگیرانه، کاربران می توانند به طور قابل توجهی خطر ابتلا به باج افزار را کاهش دهند و از دستگاه ها و داده های خود در برابر آسیب احتمالی محافظت کنند.
متن پیام یادداشت باج ارسال شده توسط NoEscape Ransomware به شرح زیر است:
'----------------------------------------------- -------------------------------
>>>>>>>>>>>>>>>>>> HOWTORECOVERFILE S <<<<<<<<<<<<<<<<<<<
------------------------------------------------ ------------------------------
چه اتفاقی افتاد؟
شبکه شما توسط NoEscape .CAEGAAHJFA هک و آلوده شده است
تمام اسناد شرکت، پایگاه داده ها و سایر فایل های مهم شما رمزگذاری شده اند
اسناد محرمانه، اطلاعات شخصی و اطلاعات حساس شما دانلود شده است
بعد چه می شود؟
برای دریافت ابزار بازیابی ویژه ما برای همه فایلهای خود، باید هزینه بپردازید
و از انتشار تمام اطلاعات دانلود شده برای فروش در دارک نت خودداری کنید
اگر پرداخت نکنم چه می شود؟
تمام فایل های شما برای همیشه رمزگذاری شده باقی می مانند
هیچ راه دیگری برای بازیابی فایل های شما وجود ندارد، به جز ابزار بازیابی ویژه ما
تمام اطلاعات دانلود شده برای فروش در دارک نت منتشر می شود
همکاران، رقبا، وکلا، رسانه ها و کل جهان آن را خواهند دید
من می خواهم پرداخت کنم. باید چکار کنم؟
شما باید با ما تماس بگیرید:
1. مرورگر TOR hxxps://www.torproject.org/ را دانلود و نصب کنید
2. پیوند را در مرورگر TOR باز کنید noescaperjh3gg6oy7rck57fiefyuzmj7kmvojxgvlmwd5pdzizrb7ad.onion
3. شناسه شخصی خود را وارد کنید و دستورالعمل ها را دنبال کنید
شناسه شخصی شما:
------------------------------------------------ ----------------------------------------------
چه ضمانتی می دهیم؟
ما یک شرکت سیاسی نیستیم و به امور خصوصی شما علاقه ای نداریم
ما یک شرکت تجاری هستیم و فقط به پول علاقه داریم
ما برای شهرت خود ارزش قائل هستیم و به قول خود عمل می کنیم
چه کاری را نباید انجام دهم؟
! سعی نکنید فایل های رمزگذاری شده را خودتان اصلاح یا بازیابی کنید!
! فقط ما می توانیم فایل های شما را بازیابی کنیم، بقیه به شما دروغ می گویند!'