Solara Ransomware

Solara یک گونه باج‌افزار است که اخیراً مشاهده شده و محققان می‌گویند بر اساس کد خانواده Chaos که به طور عمومی منتشر شده است، ساخته شده است. باج‌افزاری مانند Solara فایل‌های کاربر را رمزگذاری می‌کند، درخواست پرداخت وجه می‌کند و می‌تواند دسترسی به داده‌های مهم را برای همیشه مختل کند، بنابراین محافظت از دستگاه‌ها و پشتیبان‌گیری ضروری است.

سولارا چه می‌کند؟

در طول تجزیه و تحلیل، مشاهده شد که Solara فایل‌ها را رمزگذاری کرده و رشته متنی '.solara' را به نام فایل‌ها اضافه می‌کند (برای مثال، '1.png' → '1.png.solara'). این بدافزار همچنین یک یادداشت باج‌خواهی به نام 'read_it.txt' قرار می‌دهد که ادعا می‌کند قربانی یک محافظت 'ضد کرک' را فعال کرده و به قربانیان دستور می‌دهد تا یک ابزار رمزگشایی را از یک عامل آنلاین دریافت کنند. چندین مقاله و تجزیه و تحلیل نمونه، Solara را به خانواده باج‌افزار Chaos مرتبط می‌دانند و رفتار مشابهی را توصیف می‌کنند (رمزگذاری، جایگزینی پسوند و یک یادداشت باج‌خواهی به صورت متن ساده).

درخواست‌های باج و پرداخت

پیام باج‌خواهی که توسط تحلیلگران بررسی شده است، ادعا می‌کند که بازیابی فایل بدون ابزار رمزگشایی مهاجم «تقریباً غیرممکن» است. این یادداشت به قربانیان دستور می‌دهد تا با یک کاربر Discord (xenqxd) تماس بگیرند و گزینه‌های پرداختی مانند Paysafecard (در لهستان) یا مبلغ کمی بیت‌کوین را پیشنهاد می‌دهد. نکته قابل توجه این است که برخی از نمونه‌ها کانال‌های تماس معنادار را حذف کرده‌اند، که می‌تواند نشان‌دهنده یک کمپین نابالغ یا شوخی‌مانند یا اپراتورهایی باشد که به سادگی انتظار مذاکره ندارند. با همه این درخواست‌ها با سوءظن شدید رفتار کنید.

آیا می‌توانید فایل‌ها را بدون پرداخت هزینه بازیابی کنید؟

به طور کلی، فایل‌های رمزگذاری شده توسط تهدیدات Chaos-family بدون کلید رمزگشایی مناسب قابل بازیابی نیستند. اگر از قبل از آلودگی، نسخه‌های پشتیبان آفلاین و سالمی دارید، بازیابی آنها امن‌ترین مسیر توصیه شده است. پرداخت وجه توصیه نمی‌شود، مجرمان اغلب رمزگشاهای قابل استفاده‌ای ارائه نمی‌دهند و پرداخت وجه، فعالیت‌های مجرمانه را بیشتر می‌کند.

ناقلین عفونت رایج

• نرم‌افزارهای غیرقانونی، کیجن‌ها و ابزارهای «کرک‌شده» که با بدافزارها پنهان شده‌اند.
• پیوست‌ها و لینک‌های مخرب ایمیل (ماکروها، اسکریپت‌ها، فایل‌های اجرایی آفیس).
• تبلیغات آلوده، سایت‌های دانلود غیررسمی یا هک‌شده، شبکه‌های P2P/torrent، درایوهای USB و دانلودکننده‌های شخص ثالث.

اقدامات فوری در صورت مشکوک بودن به عفونت

فوراً دستگاه را ایزوله کنید : از شبکه‌ها (سیمی/وای‌فای) جدا شوید و هرگونه درایو اشتراکی/شبکه‌ای را از سیستم جدا کنید تا از انتشار جانبی جلوگیری شود.

حفظ شواهد : اگر در حال جمع‌آوری اطلاعات حافظه یا مصنوعات پزشکی قانونی هستید، از چرخه‌ی قدرت استفاده نکنید، در عوض اگر توانایی آن را دارید، از حافظه و دیسک ایمیج بگیرید یا با مرکز پاسخگویی به حوادث تماس بگیرید.

از نسخه‌های پشتیبان استفاده کنید : پس از حذف بدافزار و بازسازی سیستم‌ها، از نسخه‌های پشتیبان معتبر بازیابی کنید؛ نسخه‌های پشتیبان که ممکن است در زمان آلودگی متصل بوده‌اند را بازیابی نکنید.

تا زمانی که تیم واکنش به حادثه همه گزینه‌ها و عواقب را ارزیابی نکرده است، پولی پرداخت نکنید؛ تضمینی برای مؤثر بودن پرداخت وجود ندارد و ممکن است حملات بعدی را تشویق کند.

بهترین شیوه‌های امنیتی

یک سیستم دفاعی به‌روز و چندلایه داشته باشید که شامل اقدامات زیر در عملیات روزانه باشد:

مدیریت وصله‌ها : به‌روزرسانی‌های امنیتی سیستم‌عامل و برنامه‌ها را به‌سرعت اعمال کنید؛ بسیاری از گونه‌های باج‌افزار از آسیب‌پذیری‌های شناخته‌شده و وصله‌شده سوءاستفاده می‌کنند.

حداقل امتیاز و بهداشت حساب کاربری : کاربران را با حساب‌های کاربری غیر ادمین اجرا کنید، احراز هویت چند عاملی قوی را برای دسترسی از راه دور و حساب‌های کاربری ممتاز اعمال کنید و رفتارهای غیرمعمول ورود به سیستم را زیر نظر داشته باشید.

استراتژی پشتیبان‌گیری : به‌طور منظم پشتیبان‌گیری کنید و آن‌ها را جدا از شبکه نگه دارید. گذشته از همه این‌ها، پشتیبان‌گیری مؤثرترین ابزار بازیابی در برابر حملات رمزگذاری است.

محافظت از نقاط پایانی و EDR : از راهکارهای معتبر تشخیص و پاسخ به نقاط پایانی استفاده کنید که می‌توانند ناهنجاری‌های اجرایی را شناسایی، بارهای مخرب را مسدود و مهار سریع را امکان‌پذیر کنند. امضاها و تله‌متری را فعال نگه دارید.

آموزش کاربر و مقاومت در برابر فیشینگ : به کاربران آموزش دهید تا از اجرای کرک‌ها/کیجن‌ها خودداری کنند، فرستندگان ایمیل و لینک‌ها را تأیید کنند و با پیوست‌های غیرمنتظره با سوءظن برخورد کنند. کمپین‌های شبیه‌سازی‌شده فیشینگ و آگاهی‌بخشی، عامل خطر انسانی را کاهش می‌دهند.

کنترل‌های برنامه و محدودیت‌های ماکرو : ماکروهای آفیس را به‌طور پیش‌فرض غیرفعال کنید، اجرا را از مکان‌های رایج سوءاستفاده (مثلاً %AppData%، پوشه‌های موقت) مسدود کنید و در صورت امکان از فهرست مجاز برنامه‌ها استفاده کنید.

نکات پایانی

سولارا خطرات رایج مرتبط با سازندگان باج‌افزار در دسترس عموم را نشان می‌دهد: شاخه‌ها و انواع مختلف باج‌افزار تکثیر می‌شوند و مهاجمان به‌طور مداوم روش‌های توزیع را برای هدف قرار دادن جوامع خاص تطبیق می‌دهند (گزارش‌ها، انجمن‌های بازی و کانال‌های نرم‌افزارهای غیرقانونی را به‌عنوان طعمه‌های احتمالی برجسته می‌کنند). بهترین دفاع‌ها پیشگیری، پشتیبان‌گیری قوی، مهار سریع و همکاری با تیم‌های واکنش آموزش‌دیده و عدم پرداخت باج است. اگر به نفوذ مشکوک هستید و به کمک برای پاکسازی گام‌به‌گام نیاز دارید، شاخص‌های نمونه (نام فایل‌ها، هش‌ها، متن یادداشت باج) را جمع‌آوری کنید و برای راهنمایی مهار و بازیابی با یک ارائه‌دهنده خدمات پاسخ به حادثه مورد اعتماد یا فروشنده امنیتی خود مشورت کنید.