سال 2017 پر از اتفاقات مهمی در حوزه فناوری اطلاعات در ایران و سراسر دنیا بود از حمله گسترده باج افزار واناکرای گرفته تا رشد عجیب و چشمگیر ارزش ارزهای دیجیتال.

ارزهای رمزپایه‌ای مانند بیت کوین و اتریوم در سال 2017 به یکباره رشد فوق‌العاده زیادی را تجربه کردند و این مسئله باعث شد تا نگاه‌های زیادی به سمت حوزه خرید و فروش و یا استخراج این ارزها جلب شود. این مسئله به حدی رسید که افراد زیادی به صورت حرفه‌ای شروع به استخراج ارزهای دیجیتال کردند.

از طرف دیگر با ارزشمند شدن ارزهای رمزپایه، هکرها هم دست به کار شدند تا از این فرصت سو استفاده کنند. این مسئله باعث شد که در سراسر دنیا شاهد اتفاقی تقریبا جدید به نام دزدی ارز دیجیتال (cryptojacking) باشیم. به این معنا که هکر سیستم قربانی را مورد حمله قرار داده و از توان پردازشی سخت افزار آن برای استخراج ارز دیجتیال استفاده می‌کند.

دزدی ارز دیجیتال با بد افزار MM123$MINER در ایران 

این مسئله به صورت جدی به ایران هم راه یافته است تا جایی که اخیرا مرکز ماهر درباره شیوع بدافزاری با هدف استخراج ارزهای دیجتیال در سطح اینترنت در کشور خبر داده است.

این طور به نظر می‌رسد که این بدافزار از نیمه دوم فروردین ماه فعالیت خود را آغاز کرده است، MM123$MINER نام دارد. این بدافزار به صورت اتوماتیک کاربری با نام MM123$ را به سیستم قربانی اضافه می‌کند و با استفاده از تکنیک درب پشتی سیستم را آلوده کرده و یا اینکه از آن برای حملات رایانه‌ای استفاده می‌کند.

پیشنهاد فیسیت : چگونه جلو دزدی ارز دیجیتال از طریق سیستم خود را بگیریم

جلوگیری از آلوده شدن به بدافزار دزدی ارز دیجیتال MM123$MINER

گام اول : مرکز ماهر علاوه بر انتشار خبر شیوع این بدافزار دزدی ارز دیجیتال، لیست دامنه‌های آلوده را منتشر کرده است. به عنوان اولین قدم در سازمان‌های بزرگ مدیران شبکه برای جلوگیری از آلوده شدن سیستم‌ها بایستی دسترسی به این دامنه‌ها را محدود کنند:

• Da.alibuf.com
• Dnn.alibuf.com
• X.alibuf.com
• Liang.alibuf.com
• Pools.alibuf.com
• Dns.alibuf.com
• Amd.alibuf.com
• Ca.posthash.org
• Stop.posthash.org
• Ip.3322.net
• Ip138.com
• xt.freebuf.info
• Miner.fee.xmrig.com
• Emergency.fee.xmrig.com
• Minergate.com
• Nicehash.com
• pool.minexmr.to
• xmr.usa-138.com
• pool.minexmr.com
• bulletpool.ru
• xmr-eu1.nanopool.org
• xmr.kiss58.org
• fee.xmrig.com
• pool.minexmr.com
• pool.minexmr.to

گام دوم : در گام بعدی باید همه سیستم عامل‌ها و نرم‌افزارهای آنتی ویروس به‌روزرسانی شوند. ضمنا وصله‌های امنیتی منتشر شده را هم فراموش نکنید مخصوصا پچ منتشر شده برای آسیب‌پذیری‌های MS17-010 .

گام سوم : در مرحله بعد باید پورت‌های 445، 139 و 3389 را ببندید. برای بستن این پورت‌ها کافی است با اکانت ادمین وارد شده باشید. سپس برنامه CMD را به صورت ادمین (run as administrator) اجرا کنید و دستور زیر را وارد کنید.

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

در این دستور باید عبارت‌های زیر را به شکل گفته شده پر کنید:

• Dir : این متغییر را با عبارت in و out جایگذاری کنید.
• Protocol : این متغییر را با عبارت TCP و UDP جایگذاری کنید.
• Localport : در این متغییر عدد تک تک پورت‌ها را جایگذاری کنید.

در آخر مرکز ماهر اعلام کرد که مقابله با آدرس‌های IP‌ میزبان این دامنه‌ها از طریق مراکز CERT کشورهای مربوطه درحال پیگیری است.

برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ و کانال سروش ما به آی دی faceit_mag@ همراه باشید.