مطالب آموزشی

هشدار در خصوص بد افزار جدید CTB-Locker

بدافزار  CTB-Locker نسل جدیدی از ویروس‌های کامپیوتری می‌باشد که از طریق ایمیل و یک فایل zip وارد سیستم شده و پس از  اینکه از حالت فشرده خارج شد ، شروع به دانلود بدافزار از طریق شبکه TOR می کند.
این بد افزار پس از بارگذاری،  شروع به رمزگذاری فایل ها می کند  و سپس از شما برای رمزگشایی این فایل ها درخواست پول خواهد کرد.

 

CTB Locker چگونه فایل‌های قربانیان را رمز گذاری می‌کند؟

این بدافزار با استفاده از باج‌افزار، کلیه درایوها (حتی فلش یا هارد خارجی یا هر وسیله دارای حافظه) را جستجو کرده و فایلهایی که دارای فرمت پرکاربرد و شناخته شده می‌باشند را می‌یابد.

ممکن است کاربر در ابتدا فکر کند که ویروس فرمت فایلها را تغییر می‌دهد ولی آنچه در حقیقت رخ می‌دهد چیزی کاملا پیچیده می‌باشد. ورژن‌های اصلی فایل پاک می‌شود ‌و کپی آنها رمزگذاری می‌شود. ابزار رمزگشایی (ابزار key و decryptor) برای هر کامپیوتر آلوده منحصر به فرد بوده و در یک سرورremote ذخیره شده است که تنها از طریق Tor قابل دستیابی است. کاربر نیاز به نصب Tor Browser Bundle برای رمزگشایی دارد، که به موجب آن کسانی که این کار را انجام می‌دهند گمنام می‌مانند.

باج خواسته شده باید ظرف ۹۶ ساعت ارائه شود (در انواع قبلی ۷۲ ساعت بود). هزینه ۲٫۰ بیت کوین می‌باشد. جالب اینجاست که ‌بدافزار دارای سرویسی می‌باشد که ارزهای دیگر را به BTC تبدیل می‌کند.

همچنین،‌ برای نمایش نحوه کارکرد‌CTB Locker ، باج افزار ۵ فایل را به صورت رندوم رمزگشایی می‌کند. روال کاری باج‌افزار شبیه حملات سایبری می‌باشد که این روزها بسیار رواج پیدا کرده است.

روش‌های دیگر برای بازیابی فایل‌های رمزگذاری شده:

با توجه به اینکه CTB Locker بدافزاری کاملا پیچیده و مرموز است، هیچ تضمینی وجود ندارد که بتوان فایل‌ ها را بدون پرداخت باج بازگردانی کرد، با این حال روش‌های زیر را امتحان کنید:

مهم ترین نکته برای جلوگیری از ورود این بدافزار، آگاه سازی کاربران داخل سازمان برای عدم بازگشایی ایمیل های ناخواسته می باشد. معمولا کاربرای برای بازکردن فایل های ضمیمه از طریق خود ایمیل این کار را انجام می دهند و چون این بد افزار از طریق فایل zip منتشر می شود می توانید مراحل زیر را نیز برای جلوگیری از باز شدن این فایل ها به صورت غیر عمدی توسط کاربران سازمان خود انجام دهید. این مراحل بر روی Active Directory و بر روی یک سیستم Local توضیح داده شده اند.
۱- محدود کردن فایل های ZIP در زمان Extract شدن در Active Directory

ابتدا بر روی سرور AD خود در Run گزینه gpmc.msc را وارد کنید.

RUN

سپس مانند تصویر بروی Policy مربوطه کلیک راست کرده و گزینه Edit را انتخاب کنید.

پس از این کار بر روی قسمت Software Restriction Policy کلیک راست کرده و گزینه New Software Restriction Policy را انتخاب کنید.

سپس به Additional Rules وارد شوید.

سپس کلیک راست کرده و گزینه New Path Rule را انتخاب کنید.

در پنجره باز شده در قسمت Path مسیرهای زیر را وارد کرده و Security Level را بر روی Disallowed قرار دهید.

%AppData%\*.exe

%UserProfile%\Local Settings\*.exe

%LocalAppData%\*.exe

%AppData%\*\*.exe

%UserProfile%\Local Settings\*\*.exe

%LocalAppData%\*\*.exe

%UserProfile%\Local Settings\Temp\Rar*\*.exe

%LocalAppData%\Temp\Rar*\*.exe

%UserProfile%\Local Settings\Temp\7z*\*.exe

%LocalAppData%\Temp\7z*\*.exe

%UserProfile%\Local Settings\Temp\wz*\*.exe

%LocalAppData%\Temp\wz*\*.exe

%UserProfile%\Local Settings\Temp\*.zip\*.exe

%LocalAppData%\Temp\*.zip\*.exe

برای تغییر در سیستم ها به صورت Local نیز در Run گزینه SecPol.msc وارد کرده و همین روال را بروید.

۲- Backup گیری از دادها

اگر شما از اطلاعات خود backup گرفته‌اید تنها کاری که لازم است انجام دهید بازگردانی آنها است. این سناریو در بهترین شرایط ممکن است رخ دهد ولی همه افراد ممکن است backup از اطلاعات خود نداشته باشند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.