Jump to Navigation

انتشار گونه جدیدی از باج افزار CTB-Locker

در روزهای اخیر انتشار گونه جدیدی از باج افزار CTB-Locker در کشورهای مختلف از جمله ایران گزارش شده است. گونه جدید نیز مانند بقیه بدافزارهای باجگیر (Ransomware) اقدام به رمزگذاری فایلهای کامپیوتر قربانی کرده و از کاربر برای رمزگشایی و برگرداندن فایلها به حالت عادی اخاذی می کند.

در گونه جدید CTB-Locker، مبلغ اخاذی از ۰٫۲ بیت کوین در نمونه قبلی به ۳ بیت کوین (حدود ۷۵۰ دلار) افزایش پیدا کرده است. ضمن اینکه مهلت پرداخت باج از ۷۲ ساعت به ۹۶ تغییر یافته است.

این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP و با یکی از نامهای زیر به کاربر ارسال می گردد:

malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip
payloads.zip
dessiatine.zip


 

استفاده از موضوعات (Subject) زیر نیز در هرزنامه های ارسالی توسط باجگیر گزارش شده است:

[Fax server] +07909 546940
copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368
Fax ZC9257943991110
New fax message from +07862-678057

عنوان CTB برگرفته از عبارت Curve Tor Bitcoin است که در آن Curve معرف رمزگذاری پیچیده  Elliptical Curve Encryption می باشد.

این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جمله PDF و XLS می کند.

پس از رمز شدن فایلهای مورد نظر بدافزار، یک پنجره مشابه تصویر زیر ظاهر می گردد.

CTB-Locker-Msg

با کلیک بر روی دگمه View فهرست فایلهای رمزگذاری شده نمایش می یابد.

شناسایی CTB-Locker

گونه های جدیداین بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ توسط ضدویروس McAfee شناسایی می شوند.

همچنین استفاده از فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های بدافزار CTB-Locker می باشد نیز توصیه می شود.

نحوه نصب فایل به روز رسانی موقت از طریق ابزار مدیریتی (ePolicy Orchestrator) ePO

۱) فایل دریافتی را باز کنید.
۲) در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید.
۳) بر روی دگمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید.
۴) پس از فعال کردن گزینه Extra DAT بر روی گمه Browse کلیک نموده و فایل دریافت شده از پیوند فوق را انتخاب کنید. در ادامه بر روی دگمه Next کلیک نمایید.
۵) پس از ظاهر شدن مشخصات فایل، بر روی دگمه Save کلیک کنید تا فایل در انباره قرار گیرد.

برای ضدویروس Bit defender، به روز رسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونه های مختلف بدافزار CTB-Locker را به این ضدویروس اضافه می نماید.

هشدار!
  
گرچه اغلب ضدویروس ها قادر به شناسایی گونه های مختلف CTB-Locker هستند ولی در صورتیکه بدافزار فرصت داشته و موفق به رمزگذاری فایلهای کامپیوتر آلوده شود، هیچ راهکاری برای رمزگشایی فایلها و برگرداندن آنها به حالت اولیه وجود نخواهد داشت. هیچیک از نرم افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار می کنند. تنها راه حل واقعی و عملی برای بازگرداندن فایلها، پرداخت باج است که برای برخی گونه های CTB-Locker مبلغی حدود ۳ میلیون تومان برای هر کامپیوتر هزینه خواهد داشت.

اقدامات پیشگیرانه

- پرهیز از بازگشایی ایمیل‌ها و پیوست های ناشناس و مشکوک

- اطمینان از به روز رسانی مستمر و به روز بودن نرم افزار ضد ویروس

- به روز رسانی سیستم های عامل و نرم افزارهای کاربردی و نصب اصلاحیه های امنیتی آنها

 

لینک منبع خبر



Emergency | by Dr. Radut