• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

بایگانی برچسب: s

21 ژوئن 2021

بدافزار Vigilante جلوگیری از ورود افراد به سایت های غیر مجاز مانند PirateBay

به نقل از اندرو برانت ، محقق ارشد SophosLabs  بدافزار عجیب Vigilante از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را ارایه می دهند، جلوگیری می کند.

وی همچنین افزود: در یکی از عجیب ترین مواردی که مدتی است دیده ام ، اخیراً یک بدافزار که به نظر می رسد هدف اصلی آن دور از انگیزه های رایج بدافزار باشد. این بدافزار با تغییر دادن پرونده HOSTS در سیستم آلوده ، از دسترسی رایانه کاربران آلوده به تعداد زیادی از وب سایت هایی که نرم افزار کرک شده توزیع می کنند ، جلوگیری می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

اصلاح پرونده HOSTS روشی خام اما موثر برای جلوگیری از دسترسی کامپیوتر به آدرس وب است. این خام است زیرا ، در حالی که کار می کند ، بدافزار هیچ مکانیسم ماندگاری ندارد. هر کسی می تواند ورودی ها را بعد از اضافه شدن به پرونده HOSTS حذف کند. (مگر اینکه برنامه را برای بار دوم اجرا کند)

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال می کند. تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه. نتواند به وب سایت های نرم افزار دزدی مانند ThePirateBay.com وارد شود.

انگیزه این بدافزار کاملاً واضح به نظر می رسد. از مراجعه افراد به وب سایت های نرم افزار دزدی جلوگیری می کند. بدافزار Vigilante از چند صد تا بیش از ۱۰۰۰ دامنه وب به فایل HOSTS اضافه می کند. و آنها را به آدرس localhost ، ۱۲۷٫۰٫۰٫۱ تغییر می دهد.

بدافزار Vigilante

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

مشروح گزارش سوفوس

سوفوس راه حل تمامی تهدیدات پیجیده امروزه

22 فوریه 2020

بدافزار استاکس‌نت پس از اجرای حملاتی که بر ضد سانتریفیوژهای غنی‌سازی اورانیوم در ایران داشت، توانست به شهرت بسیار زیادی در جهان برسد. این کرم رایانه‌ای پیچیده که در سال ۲۰۱۰ میلادی شناسایی شد، گفته می‌شود حداقل از سال ۲۰۰۵ در حال توسعه و گسترش خود در زیرساخت‌های صلح‌آمیز انرژی هسته‌ای کشورمان بوده است.
طبق باور کارشناسان امنیتی و اسناد اطلاعاتی افشا شده، این بدافزار توسط نهادهای اطلاعاتی آمریکا و اسرائیل ساخته شده است.

اهداف اصلی
استاکس‌نت برای تغییر کنترلرهای منطقی برنامه‌پذیر (PLC) که در انواع سیستم‌های کنترل صنعتی (ICS) کاربرد دارند، طراحی شده است. از PLCها در تشکیلات حیاتی و زیرساختی همچون پتروشیمی‌ها، پالایشگاه‌ها، نیروگاه‌های برق، تصفیه آب، خطوط لوله‌های گاز و غیره استفاده می‌شود. این کرم برای آلوده کردن رایانه‌ها از چندین اکسپلویت روز صفر شناخته شده استفاده می‌کرد.
در سال ۲۰۰۷، این بدافزار سیستم‌های کنترل صنعتی ایران، اندونزی و هند را هدف قرار داد. بیشترین تأثیرات این بدافزار یعنی چیزی حدود ۶۰ درصد از آلودگی‌های به وقوع پیوسته، در ایران مشاهده شد. بعضی از کارشناسان بر این باورند که استاکس‌نت توانست هزار سانتریفیوژ را فقط در تشکیلات هسته‌ای نظنز تخریب کند.

طرز کار
استاکس‌نت پس از آلوده کردن یک رایانه، بررسی می‌کند که آیا آن سیستم به یک مدل PLC خاص تولید شرکت زیمنس متصل شده است یا خیر. این بدافزار، نرم افزار STEP 7 شرکت زیمنس را که برای کنترل PLCها کاربرد دارد، جستجو می‌کند. پس از پیدا شدن سیستمی با این نرم افزار، استاکس‌نت شروع به تزریق اطلاعات غلط به PLC کرده و داده‌های واقعی را تغییر می‌دهد. سپس PLC بر اساس اطلاعات غلط تزریق شده، یک گزارش اشتباه به STEP 7 برگردانده و اعلام می‌کند عملیات به صورت عادی در حال جریان است.
این کرم برای انتشار در شبکه‌های ایرگپ (ایزوله) طراحی شده است و معمولاً از طریق فلش مموری‌های آلوده و سایر دستگاه‌های اکسترنال منتقل می‌شود.

هدف
مهاجمان می‌توانند از طریق استاکس‌نت، کنترلرهای منطقی مربوط به حساس‌ترین فرایندهای یک تشکیلات صنعتی را تحت کنترل گرفته و از آنها برای انجام تغییرات مورد نظرشان (مثلاً دما، فشار، جریان آب، مواد شیمیایی و گاز) استفاده کنند. همچنین این کرم برای مجاز به نظر رسیدن و پیشگیری از شناسایی توسط سیستم‌های ضدبدافزار و تشخیص نفوذ، حاوی اطلاعات جعل شده چندین امضای دیجیتالی خاص است.

مدل جدید استاکس‌نت
کارشناسان و محققان امنیتی می‌گویند مدل جدیدی از استاکس‌نت به نام استاکس‌نت ۲، شبکه‌های ایران را هدف حملات خود قرار داده است. گفته می‌شود که این نسخه جدید، پیچیده‌تر و پیشرفته‌تر از مدل‌های پیشین خود است. هنوز مشخص نیست که چه شرکت‌ها و صنایعی هدف این بدافزار قرار گرفته‌اند و عوامل پشت این حمله نیز چه افراد یا نهادهایی هستند.
در سال‌های اخیر، بدافزارهای مختلف دیگری با قابلیت‌هایی شبیه استاکس‌نت در کشورمان شناسایی شده‌اند. Duqu و Flame دو کرم دیگر هستند که البته هدف آنها کاملاً متفاوت با استاکس‌نت بوده و زیرساخت‌های خاصی را نیز هدف حملات خویش قرار داده بودند.
هر چند در حال حاضر، انتشار استاکس‌نت محدود شده است اما گفته می‌شود این کرم می‌تواند نقش مهمی در حملات آتی بر ضد زیرساخت‌های آمریکا و سایر کشورها بازی کند. محققان ESET طی تحلیل‌های خود درباره استاکس‌نت اعلام کردند: «این یک پیشرفت غیرمنتظره و چشم‌گیر بود که افراد مسئول در امنیت سیستم‌های صنعتی باید آن را جدی بگیرند».

22 فوریه 2020

هکرها با نفوذ به شبکه‌های سازمانی می‌توانند بدون این که ردپایی از خود در سیستم‌های هدف بر جای بگذارند، بدافزارهای مختلفی را از طریق پروتکل دسکتاپ راه دور (RDP) بر روی آنها اجرا کنند.
امروزه ماینرهای رمز ارز، بدافزارهای سرقت اطلاعات و باج افزارها با استفاده از یک ارتباط راه دور، در حافظه رم سیستم قربانی اجرا شده و از آن برای استخراج اطلاعات ارزشمند استفاده می‌کنند.

سوءاستفاده از قابلیت‌های RDS در ویندوز

مهاجمان از یکی از امکانات Windows Remote Desktop Services استفاده کردند که به کلاینت، امکان به اشتراک-گذاری درایوها توسط Terminal Server جهت خواندن و نوشتن مجوزها را می‌دهد. این درایوها به صورت درایو به اشتراک گذاشته شده بر روی یک شبکه مجازی به نام ‘tsclient’ نمایش داده می‌شوند که حرف مربوط به درایو، پس از آن قرار گرفته و می‌توان درایوهای محلی را به آن نگاشت کرد.

هنگامی که کاربران به سرور متصل می‌شوند می‌توانند برنامه‌های کاربردی را اجرا کنند. در این روش، امکان دسترسی به منابع اشتراک گذاشته شده از طریق RDP وجود داشته و هیچ اثری از آن نیز بر روی دیسک ماشین کلاینت باقی نمی‌ماند زیرا برنامه‌های کاربردی در حافظه اجرا می‌شوند. وقتی یک نشست RDP به پایان می‌رسد، فرایندهای مربوطه نیز خاتمه یافته و معمولاً حافظه آزاد می‌شود.

 

انتشار بدافزار در درایوهای به اشتراک گذشته شده شبکه

تحلیلگران بدافزار در شرکت بیت دیفندر متوجه شده‌اند که مهاجمان از این قابلیت سوءاستفاده کرده و بدافزارهای مختلفی را به همراه فایل worker.exe که از آنها دستور می‌گیرد، بر روی سیستم کاربران نصب می‌کنند.
worker.exe که حداقل از فوریه ۲۰۱۸ مورد استفاده هکرها بوده، یک ابزار آماده است که به دلیل قابلیت‌های تشخیص و شناسایی خاصی که دارد، مهاجمان مختلفی از آن استفاده کرده‌اند. از جمله اطلاعاتی که این ابزار توانایی جمع‌آوری آنها را از یک سیستم دارد می‌توان به موارد زیر اشاره کرد:
• اطلاعات سیستم: معماری، مدل پردازشگر، تعداد هسته‌های پردازشگر، میزان حافظه رم و نسخه سیستم عامل ویندوز
• نام دامنه، اولویت‌های کاربر لاگین شده و لیست کاربران سیستم
• آی‌پی محلی، سرعت دانلود و آپلود، اطلاعات عمومی آی‌پی که توسط سرویس ip-score.com برگردانده می‌شود.
• مرورگر پیش‌فرض، وضعیت پورت‌های خاصی از میزبان، بررسی سرورهای فعال و گوش دادن به پورت آنها، برخی از سطرهای کش DNS (بیشتر در حالتی که سعی کند به یک دامنه خاص متصل شود).
• بررسی این که آیا پردازش‌های خاصی در حال اجرا هستند، بررسی وجود مقادیر و کلیدهایی خاص در رجیستری.
این ابزار علاوه بر امکاناتی که به آن اشاره شد، قابلیت‌های دیگری همچون گرفتن اسکرین‌شات و تشخیص درایوهای به اشتراک گذاشته شده در شبکه را نیز دارد.
همچنین آن‌طور که مشاهده شده است، worker.exe حداقل ۳ ابزار سرقت از کلیپ‌بورد (MicroClip، DelphiStealer و IntelRapid)، دو خانواده باج افزار (Rapid، Rapid 2.0 و Nemty)، چندین ماینر رمز ارز مونرو (همگی بر اساس XMRig) و از جولای ۲۰۱۸ هم بدافزار مشهور سرقت اطلاعات AZORult را اجرا می‌کند.
نمونه‌هایی از worker.exe در tsclient مشاهده شده است که برای دریافت اطلاعات، به سرور فرماندهی و کنترل متصل نشده و به جان آن، فرمان‌ها را از یک فایل متنی به نام config.ins در همان محل دریافت می‌کردند.

 

در نهایت تمام اطلاعات جمع‌آوری شده از سیستم آلوده، به یک فایل .NFO منتقل شده که در همان محل فایل پیکربندی ذخیره می‌شود. چنین کاری، یک روش آسان برای استخراج اطلاعات از رایانه آلوده و سخت‌تر کردن تحلیل‌های جرم‌شناسی است.

هدف مهاجمان

این اقدام‌ها با این هدف صورت می‌گیرد که مشخص شود کاربر چه زمانی آدرس یک کیف پول (والت) ارزهای دیجیتال را کپی می‌کند تا مهاجم بتواند این آدرس را با آدرس متعلق به خودش جایگزین کند. به این ترتیب، مقصد تمام تراکنش‌های خروجی تغییر کرده و این مبالغ به جیب مجرمان سایبری واریز می‌شود.
از بین این سه بدافزار، بدافزار IntelRapid پیشرفته‌ترین آنها محسوب می‌شود. این بدافزار قادر به شناسایی تعداد بیشتری از والت‌های رمز ارز است (از قبیل بیت کوین، لایت کوین، اتریوم، مونرو، بیت کوین کش، دش، ریپل، دوژکوین، نئو و زی کش) و می‌تواند آنها را با آدرس داده شده توسط مهاجم جایگزین کند.
این بدافزار با استفاده از یک سازوکار امتیازدهی پیچیده، جایگزین‌هایی را پیدا می‌کند که کاراکترهای ابتدایی یا انتهایی آنها با آدرس والت قربانی یکسان باشند. به احتمال زیاد این اقدام به منظور فریب کاربرانی انجام می‌شود که به آدرس paste شده توجه می‌کنند.

جایگزین کردن آدرس والت با آدرس‌هایی که کاراکترهای شروع یا پایان مشابهی دارند.

 

بسته به نوع رمز ارز، IntelRapid می‌تواند بین بیش از ۱۳۰۰ آدرس مختلف جستجو کرده تا رشته‌هایی مشابه رشته اصلی را پیدا کند.
بیت دیفندر با تحلیل آدرس‌های جایگزین به این نتیجه رسید که بدافزارهای سرقت از کلیپ‌بورد، توسط همین مهاجمان پیاده‌سازی شده‌اند. تحلیل‌های بعدی از سایر اجزای مخرب بدافزار، ارتباط آنها با خانواده‌های مختلف باج افزار، ماینرهای رمز ارز و AZORult را نشان داد.
با توجه به تراکنش‌های مربوط به آدرس‌های جایگزین شده، درآمد تخمین زده شده برای بدافزار سرقت اطلاعات کلیپ‌بورد تا حدود ۱۵۰ هزار دلار برآورد شده است؛ اما به احتمال زیاد سود اصلی بسیار بیشتر است چون مونرو در آن محاسبه نشده است. همچنین باید توجه داشت که سایر جریان‌های درآمدی در نظر گرفته نشده‌اند چون امکان تخمین زدن آنها وجود ندارد؛ از جمله درآمد کسب شده از ماینرهای رمز ارز یا پی‌لودهای باج افزار.

نقطه اصلی شروع آلودگی

محققان نتوانستند از این یافته‌ها تشخیص دهند که مهاجم چگونه به شبکه دسترسی پیدا کرده یا فایل worker.exe را چگونه در tsclient نصب کرده است. همچنین مشخص نیست که مهاجم چگونه اطلاعات لاگین RDP برای دسترسی به سیستم قربانی را به دست آورده است. احتمالاً یکی از روش‌های ممکن، جستجوی فراگیر بوده است.
لازم به ذکر است که مهاجمان حرفه‌ای که به شبکه یک شرکت نفوذ می‌کنند، بیشتر وقت‌ها دسترسی‌های خودشان را در انجمن‌های زیرزمینی تبلیغ کرده و حتی ممکن است بین چند صد یا چند هزار دلار برای فراهم کردن دسترسی یا نصب بدافزار بر روی سیستم‌های قربانی نیز دستمزد دریافت کنند. بعضی از عاملان انتشار باج افزار، از طریق همکاری با چنین افرادی ممکن است به اهداف بزرگ‌تری دست یابند که امکان درخواست مبالغ هنگفت از آنها وجود دارد.

قربانیان در سراسر دنیا

احتمالاً حملات شناسایی شده توسط بیت دیفندر، قادر به ایجاد تمایز بین اهدافی که امکان آلوده کردن آنها وجود دارد، نیستند. چنین موضوعی بیانگر این است که هدف اصلی مجرمان سایبری درآمدزایی است.
بیت دیفندر: «طبق برآوردهای ما، به نظر نمی‌رسد که این کمپین‌ها صنایع خاصی را هدف قرار داده باشند، بلکه در عوض سعی می‌کنند به بیشترین تعداد قربانیان ممکن دست پیدا کنند».
این هفته، محققان در گزارشی اعلام کردند که بیشتر قربانیان در برزیل، آمریکا و رومانی قرار داشتند.

آن‌طور که از پراکندگی قربانیان در سراسر جهان مشخص است، مهاجمان به قربانیان خاصی علاقه‌مند نیستند بلکه بیشتر به دنبال حداکثر کردن سود خودشان هستند.
پیشگیری از انجام چنین حملاتی، کار سختی نیست و می‌توان این کار را با غیرفعال کردن «تغییر مسیر یا redirect درایو» از لیست سیاست‌های گروهی (group policies) انجام داد. این گزینه از طریق مسیر زیر در بخش پیکربندی رایانه قابل دستیابی است:

19 فوریه 2020

مدیر ارشد اجرایی Heritage که یکی از شرکت‌های بازاریابی تلفنی در شهر شروود آرکانزاس است، پس از عدم موفقیت کارکنانش برای بازیابی سیستم‌های این شرکت از شر یک آلودگی باج افزاری، ۳۰۰ نفر از کارمندان را اخراج کرد!
Sandra Franecke مدیرعامل این شرکت، در یک نامه عذرخواهی برای کارمندان خود نوشت که چند ماه پیش دو سرور شرکت تحت حمله هکرهایی قرار گرفتند که برای خارج کردن این سیستم‌ها از حالت بلوکه، باج‌خواهی کرده‌اند. با وجود پرداخت مبلغ خواسته شده به مهاجمان، این شرکت هنوز نتوانسته است شرایط را به حالت قبل برگرداند و دیگر قادر به پرداخت دستمزد کارمندان خود نیست؛ در نتیجه مدیرعامل تصمیم گرفت کارمندان خود را اخراج کند.
متن این نامه که به دست پایگاه خبری محلی KATV رسیده، به شرح زیر است:

کارمندان عزیز شرکت The Heritage
در جریان هستم که وقایع اخیر موجب عصبانیت، سردرگمی و اذیت و آزار شما شد. لطفاً در جریان باشید که من هم به اندازه شما ناراحت هستم، به خصوص با توجه به اقدامی که باید در این زمان خاص از سال انجام دهم.
لطفاً در جریان باشید که اگر مجبور نبودیم هرگز چنین اقدامی را انجام نمی‌دادیم. اکنون وقت آن رسیده که صادق باشیم و درباره آن چه واقعاً اتفاق افتاده است با شما صحبت کنیم تا همگی به زبان خود من از واقعیت مطلع شوند، به ویژه با توجه به اطلاعات نادرست و شایعاتی که در فضای مجازی منتشر شده و بیشتر به ما آسیب می‌زند.
متأسفانه، حدود دو ماه پیش سرورهای Heritage ما تحت حمله نرم افزاری مخرب قرار گرفتند که از ما باج خواسته بود و ما هم مجبور شدیم برای دریافت کلید و دسترسی به سیستم‌ها، به مجرمان باج بپردازیم. از آن موقع، تیم IT تمام اقدام‌های قابل انجام برای برگرداندن سیستم‌ها به حالت عادی را انجام داده اما هنوز راه زیادی در پیش است. من هم از آن زمان حداکثر تلاش خود را انجام دادم تا درهای این شرکت باز بماند حتی با پرداخت دستمزد شما از پول خودم تا زمانی که بتوانیم شرایط را به حالت قبل برگردانیم.
من هم اطلاع دارم که این شرایط چقدر باعث سردرگمی شما شده، به خصوص پس از هدایایی که این هفته در اختیار شما قرار دادیم اما باز هم تکرار می‌کنم که من این هدایا را با پول خودم تهیه کردم تا یک هدیه کریسمس خوب برای شما تهیه کرده باشیم اما این کار قبل از هک شدن سیستم‌ها انجام شد. نمی‌خواستم با پس گرفتن این هدایا همه را ناامید کنم.
امیدوارم که این عقب‌نشینی موقتی، فرصتی برای تیم IT فراهم کند تا بتواند سیستم‌ها را به حالت قبل برگرداند و مدیریت نیز فرصت تغییر ساختار بخش‌های مختلف شرکت را داشته باشد تا بتوانیم خسارت‌های صدها هزار دلاری ایجاد شده را جبران کنیم.
در حال حاضر بسیار مهم است که همه ما، امیدمان را حفظ کنیم و ایمان داشته باشیم که The Heritage Company می‌تواند از این شرایط، موفق و سربلند بیرون بیاید. همچنین بسیار مهم است که همه ما آرامش خود را حفظ کرده و فقط به حقایق توجه کنیم. از شما درخواست می‌کنم که این نامه را در اختیار کارمندانی که ممکن است در این صفحه یا فیسبوک عضو نباشند به اشتراک بگذارید. برای انجام این کار این متن را کپی کرده و در حساب کاربری فیسبوک‌تان بازنشر کنید.
لطفاً در جریان باشید که همه صحبت‌های من در سخنرانی «آینده روشن است» صمیمانه و خالصانه بودند. ما آن زمان اصلاً پیش‌بینی نمی‌کردیم که روزی قرار است سیستم‌های ما هک شوند. وقتی این ویروس وحشتناک به ما حمله کرد، بارها اعلام کردیم که شرایط بهتر خواهد شد و هر هفته این صحبت‌ها تکرار می‌شد. بخش حسابداری از کار افتاده بود و هیچ راهی برای محاسبه هزینه‌ها و درآمدها نداشتیم. مرکز ایمیل از کار افتاده و راهی برای ارسال بیانیه‌ها نداشتیم. در نتیجه هیچ وجهی به حساب ما واریز نمی‌شد.
اگر آن زمان در جریان بودیم که این حادثه به این شدت شرکت را تحت تأثیر قرار می‌دهد، مدت‌ها پیش به کارمندان‌مان درباره پیامدهای احتمالی آن هشدار می‌دادیم. تنها گزینه‌ای که در حال حاضر پیش‌رو داشتیم، تعطیلی کامل یا تعلیق کردن خدمات‌مان تا زمانی بود که بتوانیم سیستم‌ها را دوباره سازمان‎‌دهی و رو به راه کنیم. البته ما گزینه تعلیق را انتخاب کردیم چون Heritage شرکتی نیست که تمایل به تسلیم شدن داشته باشد.
همچنین باید از نحوه اطلاع یافتن عده زیادی از شما درباره تعطیلی شرکت عذرخواهی کنم. وقتی دیروز بعد از ظهر جلسه را ترک کردیم یک برنامه مشخص برای اعلام این شرایط داشتیم اما نمی‌دانستیم که این خبر به این سرعت و قبل از آن که مدیران بتوانند با کارمندانی که به منزل رفته بودند، صحبت کنند منتشر می‌شود. هیچ شخصی به اندازه من از این موضوع که شما این خبر را از منابعی شنیدید که ممکن است اطلاعات‌شان نادرست باشد، ناراحت نیست.
واقعیت این است که شرکت Heritage به صورت موقت، خدمات خود را متوقف می‌کند. دوم ژانویه پیامی منتشر خواهیم کرد و در آن درباره وضعیت سازمان‌دهی مجدد شرکت و پیشرفت‌های صورت گرفته به شما اطلاع خواهیم داد.
در عین حال از تمام شما خواهش می‌کنم که به ما باور داشته باشید. ما از تمام کارهای سختی که تک‌تک شما انجام دادید اطلاع داریم. از تمام شما درخواست می‌کنیم که در یک بازه دوهفته‌ای به پست‌های خود برگردید. ما یک خانواده هستیم و امیدوارم که با وجود این عقب‌نشینی تا مدت زیادی یک خانواده بمانیم.
مادر من ۶۱ سال پیش این شرکت را افتتاح کرد و من هم متعهد هستم که تمام تلاش خود را برای فعال نگه داشتن Heritage صرف کنم.
با احترام
Sandra Franecke, مالک و مدیرعامل The Heritage Company

Dave Denny یکی از کارمندان ناراحت این شرکت در مصاحبه با روزنامه‌نگاران گفت: «بگذارید کارمندان‌تان از واقعیت مطلع شوند، به آنها یک شانس بدهید تا خودشان تصمیم‌گیری کنند، نه این که زندگی ما را در دست خودتان بگیرید و با آن بازی کنید».
اخراج این کارمندان چند روز قبل از کریسمس انجام شد. در نتیجه عده زیادی از آنها مطمئن نیستند که سال ۲۰۲۰ را به عنوان یک فرد شاغل آغاز می‌کنند یا خیر. مدیرعامل این شرکت از کارمندان خواسته است دوم ژانویه موضوع را پیگیری کنند تا به آنها گفته شود می‌توانند به پست خود برگردند یا خیر.
این اولین ضربه مهلکی نیست که امسال باج افزارها به یک کسب و کار آمریکایی وارد می‌کنند. مسئولان یک مرکز پزشکی به نام Brookside ENT and Hearing Center هم پس از آلوده شدن سیستم‌های این مرکز به باج افزاری که همه چیز از پرونده‌های بیماران تا اطلاعات حسابداری را تحت تأثیر قرار داده بود، مجبور به تعطیلی آن شدند. هر چند این مرکز برخلاف شرکت Heritage مبلغ درخواست شده را پرداخت نکرده بود چون احتمالاً در جریان بود که پرداخت این هزینه چه پیامدهای بدی برای آن دارد.
این حملات و تهدیدات متعدد دیگری که تنها در سال قبل میلادی گزارش شدند، نشان می‌دهد که هر کسب و کاری؛ چه بزرگ و چه کوچک باید از اطلاعات خود در برابر حملات باج افزاری به شدت محافظت کند.
اگر چه شرکت‌های بزرگ معمولاً یک مرکز عملیات امنیتی اختصاصی و بیمه سایبری دارند اما این شرایط برای کسب و کارهای کوچک و متوسط که در زمینه بودجه IT و نیروی متخصص امنیت سایبری محدودیت دارند، صدق نمی‌کند.