باج افزار Risen

در عصر دیجیتال امروز، محافظت از دستگاه ها در برابر تهدیدات بدافزار بسیار مهم است. بدافزارها مانند باج‌افزارها می‌توانند اثرات مخربی بر افراد و سازمان‌ها داشته باشند که منجر به از دست دادن قابل توجه داده‌ها، آسیب مالی و اختلال در عملیات شود. یکی از جدیدترین تهدیدات در این حوزه، باج‌افزار Risen است، نرم‌افزار تهدیدکننده‌ای که فایل‌های کاربران را رمزگذاری می‌کند و برای بازیابی آن‌ها باج می‌خواهد. درک نحوه عملکرد باج‌افزار Risen و نحوه محافظت در برابر چنین تهدیداتی برای حفظ امنیت سایبری ضروری است.

مروری بر باج افزار Risen

باج افزار Risen توسط محققان امنیت سایبری کشف شد که ویژگی ها و روش های عملکرد منحصر به فرد آن را شناسایی کردند. پس از آلوده شدن یک سیستم، Risen فایل‌ها را رمزگذاری کرده و با افزودن یک آدرس ایمیل و یک شناسه کاربری به پسوندهایشان، آنها را تغییر نام می‌دهد. برای مثال، '1.png' به '1.png.Default@firemail.de].E86EQNTPTT' تغییر نام داده و '2.pdf' به '2.pdf.Default@firemail.de].E86EQNTPTT' تبدیل می شود.

یادداشت ها و تهدیدات باج

باج افزار Risen دو یادداشت باج ایجاد می کند: '$Risen_Note.txt' و '$Risen_Guide.hta'. علاوه بر این، تصویر زمینه دسکتاپ را تغییر می‌دهد و پیامی را در صفحه قبل از ورود به سیستم نمایش می‌دهد و اطمینان می‌دهد قربانی از نقض آگاه است. یادداشت های باج ادعا می کنند که مهاجمان به دلیل نقص های امنیتی به کل شبکه قربانی نفوذ کرده اند و با استفاده از یک الگوریتم قوی همه فایل ها را رمزگذاری کرده اند. آنها همچنین ادعا می کنند که داده های مهم مانند اسناد، تصاویر، داده های مهندسی، اطلاعات حسابداری و جزئیات مشتری به سرقت رفته است.

تاکتیک های اخاذی

یادداشت های باج تهدید می کند که اگر قربانیان در یک مهلت نامشخص همکاری نکنند، مهاجمان داده های جمع آوری شده را افشا می کنند یا می فروشند. یادداشت‌ها بیان می‌کنند که نسخه‌های پشتیبان نیز رمزگذاری شده‌اند و غیرقابل دسترسی هستند، به این معنی که تنها راه بازیابی فایل‌ها از طریق یک ابزار رمزگشایی خاص ارائه‌شده توسط مهاجمان است. قربانیان مجاز به ارسال حداکثر سه فایل آزمایشی برای رمزگشایی رایگان هستند و باید از آدرس های ایمیل ارائه شده، default1@tutamail.com و default@firemail.de برای تماس با مهاجمان، از جمله شناسه دستگاه خود در خط موضوع استفاده کنند. اگر در عرض 72 ساعت پاسخی داده نشد، به قربانیان گفته می شود که از طریق وبلاگ TOR ارائه شده با مهاجمان تماس بگیرند.

خطرات پرداخت باج

علیرغم وعده های مهاجمان، پرداخت باج بسیار ناامید است. خطر فریب خوردن وجود دارد، زیرا مهاجمان ممکن است ابزار رمزگشایی را حتی پس از پرداخت ارائه نکنند. علاوه بر این، باج‌افزار می‌تواند به رمزگذاری فایل‌ها ادامه دهد و در حالی که فعال است در سراسر شبکه پخش شود و باعث آسیب بیشتر شود.

اقدامات امنیتی برای جلوگیری از عفونت باج افزار

محافظت در برابر باج افزارهایی مانند Risen نیازمند رویکردی چند وجهی است. در اینجا برخی از اقدامات امنیتی حیاتی که کاربران باید اجرا کنند آورده شده است:

• پشتیبان گیری منظم : به طور منظم یک نسخه پشتیبان از داده های مهم تنظیم کنید و اطمینان حاصل کنید که نسخه های پشتیبان به صورت آفلاین یا در یک راه حل امن و مبتنی بر ابر ذخیره می شوند. این امر بازیابی اطلاعات را در صورت حمله تضمین می کند.
• نرم‌افزار به‌روزشده : همه نرم‌افزارها، از جمله برنامه‌های کاربردی و سیستم‌عامل‌ها را که با جدیدترین وصله‌های امنیتی ارتقا یافته‌اند، حفظ کنید تا آسیب‌پذیری‌هایی را که باج‌افزار می‌توانند از آنها سوءاستفاده کنند، ببندید.
• ضد بدافزار قوی : از راه‌حل‌های ضد بدافزار معتبر برای افشای و مسدود کردن باج‌افزارها قبل از ایجاد آسیب استفاده کنید. اطمینان حاصل کنید که این ابزارها به طور منظم به روز می شوند.
• فیلتر کردن ایمیل و وب : راه حل‌های فیلتر کردن ایمیل و وب را برای مسدود کردن ایمیل‌های جعلی و وب‌سایت‌هایی که ممکن است بارهای باج‌افزار را تحویل دهند، پیاده‌سازی کنید.
• آموزش کاربر : به کاربران در مورد خطرات باج افزار و شیوه های آنلاین امن آموزش دهید. بر اهمیت باز نکردن پیوست های ایمیل مشکوک یا کلیک بر روی لینک های ناشناس تاکید کنید.
• تقسیم بندی شبکه : شبکه خود را برای تنظیم گسترش باج افزار تقسیم بندی کنید. این می تواند به جلوگیری از عفونت کمک کند و از تأثیر آن بر کل شبکه جلوگیری کند.
• کنترل های دسترسی : برای محدود کردن مجوزهای کاربر و مسدود کردن دسترسی غیرمجاز به داده ها و سیستم های حساس، کنترل های دسترسی دقیق را اجرا کنید.

باج افزار Risen یک تهدید مهم در چشم انداز تهدیدات سایبری است. درک عملکرد آن و اهمیت اقدامات امنیتی پیشگیرانه می تواند به کاهش خطر عفونت کمک کند. با اجرای شیوه‌های امنیت سایبری قوی، کاربران می‌توانند از داده‌ها و شبکه‌های خود در برابر تأثیرات مخرب باج‌افزار محافظت کنند.

متن یادداشت باج به قربانیان باج‌افزار Risen:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

فایل متنی تولید شده توسط باج افزار Risen حاوی پیام زیر از سوی مهاجمان است:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'