CryptON نام باج افزار جدید و فعالی است که پس از هک سرویس ریموت دسکتاپ روی کامپیوتر کاربر نصب می شود. حمله کننده پس از دسترسی و هک سرویس ریموت دسکتاپ، و کنترل کامل سیستم به صورت دستی باج افزار را اجرا و تمام فایل ها را رمزنگاری می کند.
پس از نصب، تمام فایل های قربانی رمزنگاری شده و همان طور که در شکل زیر مشخص است، در انتهای نام آن ها عبارت .ransomed @ india.com قرار می گیرد. مثلا اگر نام فایلی 1.jpg باشد، نام آن تبدیل به 1.jpg.ransomed @ india.com خواهد شد.
encrypted-folder

در هر فولدری که فایل ها رمزنگاری شده اند یک فایل توضیحات نیز به نام HOWTODECRYPTFILES.html ساخته می شود که در آن شرح ماوقع و آدرس سایتی که با TOR پشتیبانی می شود آورده شده است.
crypton-ransom-note

سایت پشتیبانیCryptON چیز خاصی جز یک فرم چت آنلاین که برای ارتباط با حمله کننده و راهنمایی در مورد روش رمزگشایی و دادن پول ایجاد شده است، ندارد.

crypton-chat

امکان رمزگشایی گونه های باج افزار CryptON وجود ندارد.

متاسفانه در حال حاضر هیچ روش رایگانی برای رمزگشایی فایل هایی که با CryptON رمزنگاری شده اند وجود ندارد. البته نرم افزار Emnisoft یک رمزگشا برای انواع قدیمی تر دارد که روی گونه های جدید عمل نمی کند.
تنها روش بازگردانی فایل های رمزنگاری شده، بازیابی توسط بکاپ و یا این که اگر خیلی خوش شانس باشید توسط shadow volume copy است. اگرچه CryptON اقدام به حذف کپی های shadow volume می کند اما در برخی موارد دیده شده که در از بین بردن آن ها ناتوان بوده است. به همین دلیل، اگر بکاپ نمی گیرید، توصیه اکید این است که همیشه از shadow volume copy به عنوان راه برگشت نهایی استفاده نمایید.

چطور در مقابل باج افزار CryptON مقابله کنیم؟

برای در امان بودن از باج افزار CryptON و یا هر باج افزار دیگری، باید یک سری عادت ها و رفتارهای کامپیوتری و نرم افزاری را دنبال نمایید. اولین و مهم ترین آن ها این است که همیشه یک بکاپ مطمئن و تست شده از دیتای خود داشته باشید تا در مواقع بروز مشکل مانند آلودگی به باج افزار بتوانید آن را بازیابی نمایید.
از آن جا که باج افزار CryptON از طریق سرویس ریموت دسکتاپ هک شده نصب می شود بسیار اهمیت دارد که این سرویس به درستی غیرفعال شود. یعنی این که ریموت دسکتاپ کامپیوتر و یا سرور شما، به صورت مستقیم به اینترنت متصل نباشد. در عوض یک شبکه خصوصی VPN در شبکه خود راه اندازی نمایید و سرویس ریموت دسکتاپ را در پشت آن مخفی نمایید تا فقط برای کسانی در دسترس باشد که در شبکه شما اکانت VPN داشته باشند.
همچنین ایجاد پالیسی های مناسب برای قفل کردن اکانت ها برای جلوگیری از حملات بروت فورس بسیار اهمیت دارد.
و نیز بهره بردن از نرم افزارهای امنیتی که علاوه بر دارا بودن مکانیزم های شناسایی از روش اکتشافی و امضا، به مکانیزم شناسایی رفتاری نیز مجهز باشند توصیه می شود. به عنوان مثال ضد بدافزار Emnisoft و Malwarebytes که هر دو دارای مکانیزم شناسایی رفتاری هستند و بیشتر باج افزارها را شناسایی می کنند.
در نهایت مطمئن شوید که عادات امنیت آنلاین زیر را در خود تقویت کنید و نهادینه کنید:

  • بکاپ، بکاپ، بکاپ
  • فایل های ضمیمه را باز نکنید اگر فرستنده آن را نمی شناسید.
    *تا زمانی که مطمئن نشدید فرستنده واقعی فایل ضمیمه ای برای شما ارسال نموده آن را باز نکنید.
  • فایل های ضمیمه را توسط آنتی ویروس هایی مانند کسپرسکی اسکن نمایید.
  • بسیار دقت کنید که تمام آپدیت های ویندوز را به محض انتشار نصب نمایید. همچنین از بروزرسانی تمام نرم افزارها، بخصوص جاوا، فلش و ادوبی ریدر اطمینان حاصل نمایید. نرم افزارهای قدیمی و به روز نشده دارای آسیب پذیری هایی هستند که می توانند توسط انتشاردهندگان بدافزارها مورد سوءاستفاه قرار گیرند.
  • حتما از یک آنتی ویروس استفاده نمایید.
  • از پسوردهای پیچیده استفاده کنید و هرگز از یک پسورد در چند جا استفاده نکنید.
  • اگر از ریموت دسکتاپ ویندوز استفاده می کنید، آن را به صورت مستقیم به اینترنت متصل نکنید. برای استفاده از آن حتما از VPN استفاده نمایید.