CTB-LOCKER: باجگیر خوش قول
بدافزار جدید را شناسایی و از آن پرهیز کنید
کارشناسان فنی لابراتوارهای شرکت امنیتی پاندا سکیوریتی، اخیراً از کشف و شناسایی گونه جدیدی از بدافزار های باجگیر اینترنتی یا Ransomware خبر داده اند که پس از دریافت هزینه تعیین شده، فایل های رمزنگاری شده را بطور کامل آزاد می کند.
این بدافزار با نام "CTB-Locker" معمولاً از طریق فایل ضمیمه شده در ایمیل های تبلیغاتی وارد سیستم کاربر می شود، مجرمان سایبری با تکنیک های مهندسی اجتماعی کاربران را متقاعد به دریافت فایل مخرب می کنند.
باجگیرهای اینترنتی اصولاً مراحل مشابهی را برای آلوده سازی و رمزنگاری فایل های شخصی کاربران طی می کنند. ابتدا با اجرای فایل مخرب دریافت شده، عملیات رمزنگاری روی فایل های سیستم قربانی پیاده سازی می شود؛ CTB-Locker معمولاً فایل های عکس و اسناد را قفل می کند.
در مرحله بعدی یک فایل متنی در برخی از پوشه های رمزنگاری شده قرار می دهد و با همان محتوای همیشگی، “پول بپردازید تا گروگان گیری به پایان برسد!”، قربانی را مجبور به پرداخت مقادیر بسیاری می کنند.
در مرحله پایانی، عکس زمینه دسکتاپ قربانی را تغییر می دهند و کاربر را از هک شدن و رمزنگاری فایل هایش مطلع می سازند و در نهایت پیامی هشدار دهنده در قبال پرداخت نکردن مقادیر تعیین شده به نمایش می گذارد.
تفاوت اصلی این بدافزار باجگیر با نسخه های قبلی در هوشمندانه طراحی شدن آن است. این بدافزار در قبال دریافت هزینه تعیین شده، تمامی فایل های قفل شده قربانی را آزاد خواهد کرد. از این رو کارشناسان امنیتی از این بدافزار به عنوان “باجگیر خوش قول” یاد می کنند.
با این تفاصیل، جای نگرانی برای هیچ کدام از مشترکان محصولات امنیتی پاندا نمی باشد، چرا که محصولات امنیتی پاندا با بهره مندی از تکنولوژی “هوش یکپارچه” و استفاده از موتورهای هوشمند XMT، بدافزار مذکور را شناسایی و قرنطینه می کند.
CTB-Locker، در بانک های اطلاعاتی پاندا به نام“Trj/RansomCrypt.B” شناسایی می شود.
این بدافزار برای آزاد سازی فایل های گروگان گرفته شده، قربانی را مجبور می کند تا از طریق مرورگر خود وارد آدرس اینترنتی درج شده شوند و مراحل کدگشایی فایل های قفل شده را تا انتها طی کنند. تصویر زیر در زمان کدگذاری فایل های کاربر به نمایش در می آید:
CTB Locker همانند نسخه های قبلی باجگیر های رایانه ای، هشدار می دهد که در صورت عدم پرداخت هزینه تعیین شده تا زمان مقرر، بابت آزاد کردن فایل های کاربر هزینه ای بیش از میزان اولیه خود دریافت خواهد کرد.
با کلیک بر روی گزینه Next کاربر به صفحه جدیدی هدایت می شوید. در این بخش با کلیک بر روی گزینه Search، بدافزار برای اعتماد سازی کاربر، ۵ فایل قفل شده را بصورت تصادفی انتخاب می کند و با انتخاب گزینه Dycript، آنها را به خواست کاربر آزاد می کند.
پس از این عملیات رمزگشایی، به کاربر پیشنهاد می شود تا مبلغ درخواستی را پرداخت کرده تا مابقی فایل های قفل شده آزاد شوند.
چگونه بدافزار CTB – Locker را تشخیص دهیم؟
۱- این بدافزار از طریق فایل های پیوست شده ایمیل وارد سیستم کاربر می شود. معمولاً فایل آلوده ضمیمه شده با پسند های .doc یا .rtf یا یک فایل فشرده که حاوی فایلی با پسوند .scr است، میباشد.
۲- در برخی از گونه های CTB-Locker، علاوه بر کدگذاری فایل ها، می تواند به لیست ایمیل مخاطبان کاربر، نفوذ کرده و از آن به منظور شناسایی قربانیان بالقوه استفاده کند. از همه نگران کننده تر این است که فرد کلاهبردار با یک آدرس ایمیل جعلی کاربران را مورد هدف قرار می دهد. بنابراین ممکن است هرزنامه از طرف یکی از آشنایان خود برایتان ارسال شود.
۳- کاربران می توانند برخی از این دسته ایمیل های اسپم را در اینجا مشاهده نمایند.
چگونه از باجگیر های اینترنتی اجتناب کنیم؟
۱- سیستم عامل خود را همیشه به روز نگاه دارید و وصله های امنیتی منتشر شده را بلافاصله پس از انتشار نصب نمایید تا هرچه سریعتر حفره های امنیتی موجود در سیستم خود را بپوشانید.
۲- نصب یک ضد ویروس قدرتمند و مطمئن کمک بسیاری به کاربران می کند، فراموش نکنید که همواره باید آنتی ویروس خود را به روز نگاه دارید تا لیست بدافزارهای ثبت شده را به روز نمایید.
۳- هرگز ایمیل های نا شناخته که بعضاً شامل فایل های ضمیمه شده می باشند را باز نکنید.
۴- از وب گردی در وب سایت های ناشناس خودداری کنید.
۵- حتماً از فایل های شخصی، محرمانه و مهم خود یک نسخه پشتیبان تهیه کنید، چرا که فایل های قفل شده به سادگی قابل بازیافت نخواهند بود.