بدافزاری با نام MM123$MINER با هدف دزدی ارز دیجیتال در شبکه اینترنت کشور در حال فعالیت است. راههای جلوگیری از این بدافزار را در فیسیت ببینید.
سال 2017 پر از اتفاقات مهمی در حوزه فناوری اطلاعات در ایران و سراسر دنیا بود از حمله گسترده باج افزار واناکرای گرفته تا رشد عجیب و چشمگیر ارزش ارزهای دیجیتال.
ارزهای رمزپایهای مانند بیت کوین و اتریوم در سال 2017 به یکباره رشد فوقالعاده زیادی را تجربه کردند و این مسئله باعث شد تا نگاههای زیادی به سمت حوزه خرید و فروش و یا استخراج این ارزها جلب شود. این مسئله به حدی رسید که افراد زیادی به صورت حرفهای شروع به استخراج ارزهای دیجیتال کردند.
از طرف دیگر با ارزشمند شدن ارزهای رمزپایه، هکرها هم دست به کار شدند تا از این فرصت سو استفاده کنند. این مسئله باعث شد که در سراسر دنیا شاهد اتفاقی تقریبا جدید به نام دزدی ارز دیجیتال (cryptojacking) باشیم. به این معنا که هکر سیستم قربانی را مورد حمله قرار داده و از توان پردازشی سخت افزار آن برای استخراج ارز دیجتیال استفاده میکند.
دزدی ارز دیجیتال با بد افزار MM123$MINER در ایران
این مسئله به صورت جدی به ایران هم راه یافته است تا جایی که اخیرا مرکز ماهر درباره شیوع بدافزاری با هدف استخراج ارزهای دیجتیال در سطح اینترنت در کشور خبر داده است.
این طور به نظر میرسد که این بدافزار از نیمه دوم فروردین ماه فعالیت خود را آغاز کرده است، MM123$MINER نام دارد. این بدافزار به صورت اتوماتیک کاربری با نام MM123$ را به سیستم قربانی اضافه میکند و با استفاده از تکنیک درب پشتی سیستم را آلوده کرده و یا اینکه از آن برای حملات رایانهای استفاده میکند.
پیشنهاد فیسیت : چگونه جلو دزدی ارز دیجیتال از طریق سیستم خود را بگیریم
جلوگیری از آلوده شدن به بدافزار دزدی ارز دیجیتال MM123$MINER
گام اول : مرکز ماهر علاوه بر انتشار خبر شیوع این بدافزار دزدی ارز دیجیتال، لیست دامنههای آلوده را منتشر کرده است. به عنوان اولین قدم در سازمانهای بزرگ مدیران شبکه برای جلوگیری از آلوده شدن سیستمها بایستی دسترسی به این دامنهها را محدود کنند:
• Da.alibuf.com
• Dnn.alibuf.com
• X.alibuf.com
• Liang.alibuf.com
• Pools.alibuf.com
• Dns.alibuf.com
• Amd.alibuf.com
• Ca.posthash.org
• Stop.posthash.org
• Ip.3322.net
• Ip138.com
• xt.freebuf.info
• Miner.fee.xmrig.com
• Emergency.fee.xmrig.com
• Minergate.com
• Nicehash.com
• pool.minexmr.to
• xmr.usa-138.com
• pool.minexmr.com
• bulletpool.ru
• xmr-eu1.nanopool.org
• xmr.kiss58.org
• fee.xmrig.com
• pool.minexmr.com
• pool.minexmr.to
گام دوم : در گام بعدی باید همه سیستم عاملها و نرمافزارهای آنتی ویروس بهروزرسانی شوند. ضمنا وصلههای امنیتی منتشر شده را هم فراموش نکنید مخصوصا پچ منتشر شده برای آسیبپذیریهای MS17-010 .
گام سوم : در مرحله بعد باید پورتهای 445، 139 و 3389 را ببندید. برای بستن این پورتها کافی است با اکانت ادمین وارد شده باشید. سپس برنامه CMD را به صورت ادمین (run as administrator) اجرا کنید و دستور زیر را وارد کنید.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
در این دستور باید عبارتهای زیر را به شکل گفته شده پر کنید:
- Dir : این متغییر را با عبارت in و out جایگذاری کنید.
- Protocol : این متغییر را با عبارت TCP و UDP جایگذاری کنید.
- Localport : در این متغییر عدد تک تک پورتها را جایگذاری کنید.
در آخر مرکز ماهر اعلام کرد که مقابله با آدرسهای IP میزبان این دامنهها از طریق مراکز CERT کشورهای مربوطه درحال پیگیری است.
برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ و کانال سروش ما به آی دی faceit_mag@ همراه باشید.
ثبت نظر