باجافزار REVRAC (Makop)
خطر ناشی از باجافزارها بیش از هر زمان دیگری است. با توجه به اینکه نقض دادهها و حملات بدافزار مرتباً تیتر اخبار میشوند، بسیار مهم است که کاربران هوشیار باشند و شیوههای قوی امنیت سایبری را اتخاذ کنند. در میان جدیدترین تهدیدات در حال گردش، نوعی از باجافزار REVRAC که به تازگی شناسایی شده است، گونهای پیچیده و بسیار مخرب است که به خانواده باجافزار Makop تعلق دارد. این تحلیل به بررسی عملکرد این تهدید، روشهای آلودهسازی آن و موثرترین راههای دفاع در برابر آن میپردازد.
فهرست مطالب
نامی آشنا با پیچشی خطرناک
اگرچه در گذشته باجافزاری با نام REVRAC مشاهده شده است، اما نوع فعلی آن کاملاً جدید و خطرناک است. این نسخه به طور قطعی به خانواده باجافزار Makop مرتبط است که به دلیل رمزگذاری تهاجمی و قابلیتهای مخرب خود شناخته شده است. پس از اجرا در سیستم هدف، REVRAC بلافاصله شروع به رمزگذاری فایلهای کاربر، از جمله اسناد، تصاویر، پایگاههای داده و سایر دادههای ارزشمند میکند.
فایلهای آلوده طبق یک الگوی مشخص تغییر نام داده میشوند: نام فایل اصلی طوری تغییر میکند که شامل شناسه منحصر به فرد قربانی، آدرس ایمیل مهاجمان و پسوند «.REVRAC» باشد. برای مثال، فایلی مانند «1.png» به «1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC» تغییر نام میدهد.
این باجافزار علاوه بر قفل کردن فایلها، تصویر زمینه دسکتاپ سیستم را تغییر میدهد و یک یادداشت باجخواهی با نام '+README-WARNING+.txt' ایجاد میکند. این یادداشت خواستههای مهاجمان را تشریح میکند و نسبت به استفاده از ابزارهای شخص ثالث یا تغییر نام فایلها، که تهدید به آسیب دائمی یا افزایش درخواست باج میکند، هشدار میدهد.
یادداشت باج: اخاذی از طریق طراحی
پیام باجخواهی که توسط REVRAC ارسال میشود، با هدف وادار کردن قربانیان به پذیرش از طریق ترس و فوریت است. این پیام به کاربران اطلاع میدهد که فایلهای آنها بدون کلید رمزگشایی منحصر به فردی که فقط در اختیار مهاجمان است، قابل بازیابی نیست. به قربانیان دستور داده میشود با ارائه شناسه شخصی خود همانطور که در نام فایلها نشان داده شده است، با آدرس 'onlybuy@cyberfear.com' تماس بگیرند. این یادداشت تأکید میکند که هرگونه تلاش غیرمجاز برای رمزگشایی یا تغییر دادههای رمزگذاری شده میتواند منجر به از دست رفتن غیرقابل برگشت دادهها شود.
علیرغم این ادعاها، کارشناسان امنیت سایبری اکیداً توصیه میکنند که باج پرداخت نشود. هیچ تضمینی وجود ندارد که پرداخت منجر به بازیابی فایلها شود و انجام این کار فقط فعالیتهای مجرمانه بیشتر را دامن میزند.
چگونه REVRAC سیستمها را آلوده میکند
باجافزار REVRAC از طریق انواع تاکتیکهای فریبنده و مخرب گسترش مییابد. بردارهای آلودگی رایج عبارتند از:
نصبکنندههای نرمافزار جعلی : بدافزارهایی که خود را در قالب برنامههای کرکشده، تولیدکنندههای کلید یا ابزارهای فعالسازی غیرمجاز جا میزنند.
ایمیلهای فیشینگ : پیامهایی که کاربران را فریب میدهند تا پیوستهای مخرب را دانلود کنند یا روی لینکهای خطرناک کلیک کنند.
وبسایتها و تبلیغات آلوده : وبسایتها یا تبلیغاتی که به ظاهر قانونی هستند و مخفیانه بدافزار نصب میکنند.
انتشار از طریق رسانههای قابل حمل و شبکه : آلودگیهایی که از طریق درایوهای USB یا به صورت جانبی در سیستمهای متصل پخش میشوند.
سوءاستفاده از آسیبپذیریهای نرمافزاری : استفاده از باگهای وصله نشده در نرمافزارهای قانونی برای دسترسی و اجرای باجافزار.
این بدافزار اغلب در قالبهای فایلی مانند فایلهای اجرایی (.exe)، سند (.docx، .xls)، اسکریپت (.js، .vbs) یا بایگانی (.zip، .rar) جاسازی میشود.
بهترین روشها برای جلوگیری از آلودگی به باجافزار
برای دفاع در برابر تهدیداتی مانند REVRAC، کاربران باید یک رویکرد امنیت سایبری لایهبندیشده و پیشگیرانه اتخاذ کنند. برخی از مؤثرترین شیوههای امنیتی عبارتند از:
- تمام سیستمعاملها، برنامهها و ابزارهای امنیتی را بهطور کامل بهروزرسانی کنید.
- از یک آنتیویروس یا ضد بدافزار معتبر با محافظت بلادرنگ استفاده کنید.
- غیرفعال کردن ماکروها در فایلهای مایکروسافت آفیس از منابع ناشناس.
نتیجهگیری: هوشیار باشید، محافظت شوید
باجافزار REVRAC نمونه بارزی از چگونگی تکامل باجافزار، هدفمندتر و مخربتر شدن آن است. وابستگی آن به خانواده Makop، پتانسیل آن را برای آسیب جدی برجسته میکند. با این حال، با اقدامات احتیاطی مناسب، از بهداشت نرمافزار گرفته تا آموزش کاربر و روالهای پشتیبانگیری، افراد و سازمانها میتوانند از دادهها و سیستمهای خود در برابر افتادن به دست مجرمان سایبری محافظت کنند. پیشگیری همچنان قدرتمندترین ابزار در برابر باجافزار است.
پیام ها
پیام های زیر مرتبط با باجافزار REVRAC (Makop) یافت شد:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
