ویروس باجگیر « نمسیس Nemesis »

به تازگی (از ۸ روز پیش) ویروس باجگیر جدیدی به نام « نِمِسیس Nemesis » کشف شده است که متخصصان بازهم آنرا در رده « بد افزارها malware » و خانواده « باجگیرها ransomware » قرار می‌دهند. به نظرم از نوع کریسیس و مشتقات آن نظیرshade  ، xtbl ،  wallet و Dharma می باشد ولی هنوز کسی به جز بنده نظری نداشته است. از آنجایی که این ویروس شبیه موارد بالا در بیشتر موارد به سرورها (دارای سیستم ویندوز سرور) حمله می‌کند و خود را از طریق  برنامه remote desktop manager که در ایران از کرک شده آن زیاد استفاده می‌کنند به سرور می‌رساند، احتمالاً نظر بنده صحیح می‌باشد. در ضمن آدرس ایمیل اعلامی باجگیر شامل @india.com  هست که در موارد بالا هم آدرس ایمیل هم همینطور بوده است. متاسفانه خود این ویروس هنوز شناخته شده نیست چه برسد به رمزگشای آن، بنابراین در حال حاضر هیچ رمزگشایی برای آن وجود ندارد. از همه بدتر مبلغ فوق العاده بالای باج است که معمولاً ۳۰ تا ۴۰ میلیون تومان (به بیت کوین) اعلام می‌شود. علی رغم میل بنده یکی از مراجعان این مبلغ را بابت رمزگشایی اطلاعات مهم خود پرداخت نمود والبته تمامی فایلها به حالت اولیه بازگشته‌اند.
از آنجایی که یکی از اهداف این نوع ویروسها از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنیم هر روز از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.

هشدار مهم 
در صورت آلوده شدن به این ویروس از وصل کردن هرگونه حافظه فلش و هارد دیسک اکسترنال به کامپیوتر آلوده خودداری نمایید. این ویروس در عرض مدت کمی تمام فایلهای آنها را رمز می کند و خود را در آن کپی می نماید، و وصل کردن حافظه های فلش و هارددیسک های اکسترنال به دیگر کامپیوترها باعث آلوده شدن و رمز شدن آنها هم خواهد شد.

هشدار مهم ۲
این ویروس توانایی از کار انداختن تمامی آنتی ویروس ها را دارد بنابراین تا دیر نشده است از اطلاعات خود را روی CD یا  DVD پشتیبان بگیرید و فقط به داشتن آنتی ویروس اکتفاء نکنید.

هشدار مهم ۳
هدف اصلی این ویروس ویندوزهای سروری نظیر Windows server 2003, 2005, 2008 ,2012, 2016 می باشد تا با آلوده کردن و رمز کردن اطلاعات آنها که از بقیه کامپیوترها  مهم تر هستند باج بیشتری بگیرد. سیستم عامل همه موارد مراجعه شده به بنده ویندوز سرور ی بوده است.

هشدار مهم ۴
این ویروس در کامپیوترهای معمولی شبکه خود را پنهان نگه میدارد و با وصل شدن یک کاربر به سرور از طریق ریموت دسکتاپ خود را به آن میرساند و آنرا آلوده می کند. پس به هیچ عنوان از Remote Desktop یا برنامه RDP Remote Desktop Manager استفاده ننمایید، مخصوصاً با نوع کاربری Administrator.

نحوه نفوذ
این نوع ویروس ها معمولاً به چهار شکل وارد کامپیوتر قربانی می‌شوند:
۱- از طریق پیوست ایمیل (فایل ضمیمه ایمیل) هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس (از همه مهمتر است): معمولاً javascript  و بصورت پنهان در فایلهای word  و excel ، pdf ، rar  ، zip ،  txt  و …
۲-  بازدید سایت آلوده یا هدایت شدن به سایت آلوده کننده: از لینک داخل هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس و مراجعه به سایت‌های مختلف و جستجوی بدون دقت در وب
۳-  دانلود برنامه‌های کرک شده (کنار فایلهای رایگان قرار گرفتن): ویروس خود را در setup برنامه های رایگان قرار می‌دهد، وقتی قربانی در اینترنت برنامه دلخواه خود را جستجو و دانلود می‌کند، ویروس را هم وارد کامپیوتر خود می‌کند. در موقع نصب هم اجازه لازم برای نصب برنامه را می‌دهد و ویروس خود را اجرا می‌کند.
۴- ریموت دسکتاپ به ویندوزهای سرور: متاسفانه تمام موارد مراجعه شده به بنده، ویندوزهای سروری بوده اند و همگی مرتباً از طریق ریموت دسکتاپ به سرور وارد می شدند. یکی از شایع‌ترین برنامه های ریموت دسکتاپ RDP یا همان Remote Desktop Manager می‌باشد که نسخه کرک شده آن در ایران بسیار استفاده می‌شود. متاسفانه ۹۹ درصد موارد آلودگی ویندوزهای سرور که به بنده مراجعه شده، همگی از این برنامه استفاده می‌نمودند بنابراین این برنامه میتواند یکی از راه‌های آلودگی باشد.

نحوه خرابکاری
به محض اجرا شدن تمامی پروسس‌های مربوط به امنیت ویندوز و آنتی ویروس ها را از کار می‌اندازد تا بعداً خللی در کارش پیش نیاورند. سپس تمامی برنامه های پشتیبان گیری اتوماتیک نظیر shadow backup و  file history را از کار می‌اندازد و پشتیبان های گرفته شده را پاک می‌کند.
این ویروس با استفاده از رمزنگاری AES-256 ، تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند. کلید اختصاصی در سرور باجگیر ذخیره می‌گردد و بعد از پرداخت باج به قربانی داده می‌شود.

معمولاً نام فایلها را به صورت زیر تغییر می‌دهد که اعداد بخش id برای هر کامپیوتر متفاوت است و ۴ حرف آخر نیز شامل حروف و اعداد درهم می‌باشد:
filename. id-0123456789_r9oj
filename. id-0123456789_v8dp

این ویروس از رمزنگاری AES-256 استفاده کرده و تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند. کلید اختصاصی که id آن با id کامپیوتر قربانی یکی است در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به قربانی داده می‌شود.

متن باجگیری
متن باجگیری بصورت زیر می‌باشد که ضمن اعلام رمزنگاری شدن فایلها از شما خواسته می‌شود با ایمیل nemesis-decryptor@india.com با باجگیر تماس بگیرید یا با ساخت حساب در سایت https://bitmsg.me  از طریق سیستم پیام رسانی غیر قابل ردیابی و آی دی اعلام شده به با ایشان در تماس باشید.

شناسایی ویروس قبل از خرابکاری
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

راه حل
متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه مبلغ باج خیلی زیاد است. البته بنده یک بار برای دیگران باج را پرداخت کرده‌ام و فایل رمزگشا و کلیدها را دارم ولی فقط برای همون کامپیوترهای قبلی قابل استفاده هستند. بهر حال در صورت نیاز به این فایل رمزگشا و کلیدهای آن لطفا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «Nemesis بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.
درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.

نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز AES داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.