هشدار جدی مرکز «ماهر» به ایرانیان در خصوص CTB Locker

به گزارش سافت گذر به نقل از تابناک؛ بد افزار CTB Locker اکنون مدتی است که در سرتاسر جهان قربانی میگیرد و از آنجایی که مستقیما داده ها و اطلاعات بعضا حساس کاربران را مورد هدف قرار میدهد، از سوی شرکت های امنیتی بزرگ همچون کسپرسکی و سیمانتک در رده بد افزارهای خطرناک طبقه بندی شده است.

در همین خصوص مرکز «ماهر» در پیامی که در وب سایت خود منتشر کرده است به همه کاربران ایرانی در خصوص خطرات این بد افزار و نکات امنیتی پیرامون آن هشدار داده است. در پیام مرکز ماهر آمده است:

پیرو گزارشات واصله به مرکز ماهر و بررسی موارد متعدد، نمونه های مختلف از بدافزار باج گیر CTB locker در کشور رواج پیدا کرده است. این بدافزار از طریق پیوست های ایمیل انتشار پیدا کرده و با رمز کردن فایل های کاربر، برای بازگرداندن آنها درخواست پول می کند.

همچنین این مرکز در پیام خود اذعان کرده است: از لحاظ فنی راه حلی برای بازگرداندن این فایل های رمز شده وجود ندارد. لذا از کاربران ایرانی در خواست کرده تا اقدامات و نکات امنیتی لازم در این مورد را در دستور کار خود قرار دهند:

اما CTB Locker چیست و نحوه کار آن به چه ترتیب است؟

پیش از این در یک گزارش به شکل مفصل به موضوع بد افزارهای Ransomware یا باج گیر پرداخته ایم. این گونه از بد افزارها بر خلاف سایر نمونه های دیگر عملا با سیستم عامل کاری نداشته و هدف اصلی آنها فایلها و اطلاعات شخصی کاربران است و با رمزگذاری یا Encrypt کردن این فایلها از کاربر درخواست میکنند تا برای باز گرداندن اطلاعات خود مبالغی که بعضا تا هزاران دلار افزایش میابد را پرداخت کنند. از همین روی به آنها عنوان باج گیر را اطلاق میکنند:

بد افزار CTB Locker نیز یک گونه بد افزار باج گیر است که البته از نوع شایع و خطرناک آن محسوب میشود. CTB Locker یا Curve-Tor-Bitcoin Locker که بعضا از آن با نام Critroni نیز یاد شده است، بد افزاری است که تقریبا درمیانه ماه جولای سال 2014 برای اولین بار ظاهر شد و همه نسخه های ویندوز از XP تا ویندوز 8 را مورد هدف قرار داده است.

این بد افزار از تکنولوژی کریتوگرافیک بیضوی یا Eliptical Curve بهره میبرد و با سرور Command and Control بر روی TOR ارتباط برقرار میکند. همچنین موسسه امنیتی Kafein اظهار کرده است که این بد افزار بخشی از کیت مخصوصی است که به بهای حدود 3 هزار دلار فروخته میشود و در نتیجه احتمال وجود سایر بد افزارهای باج گیر مبتنی بر این کیت بسیار بالا است.

وقتی سیستم قربانی به این بد افزار آلوده میشود، در ابتدا تمامی فایل های سیستم اسکن شده و رمز گذاری میشوند به گونه ای که دیگر قابل دسترسی نیستند. نسخه های قبلی این بد افزار فایل های رمز شده را با پسوند CTB مشخص میکرد اما در نسخه های جدید یک پسوند اتفاقی برای آنها انتخاب میشود.

بعد از آن یک صفحه به شما نمایش داده میشود که شما را از رمز شدن فایلها مطلع کرده و دستور العملی برای پرداخت مبلغ جهت بازگرداندن آنها به شما ارائه میکند:

نسخه های جدید این بد افزار حتی به کاربر اجازه میدهد که برای اطمینان 5 مورد از فایل های رمز شده را رمزگشایی کند که این کار برای آن است که کاربر متوجه شود که در صورت پرداخت مبلغ فایل های خود را باز پس خواهد گرفت و از این طریق برای پرداخت مبلغ تشویق شود.

چه اقدامات امنیتی برای مقابله با CTB Locker ضروری است؟

مرکز ماهر در گزارش خود به چند نمونه اقدامات امنیتی پیشگیرانه اشاره کرده است:

گرفتن فایل پشتیبان(backup) از اطلاعات مهم

بکارگیری راه حل های امنیتی جهت ایمیل ها، مانند فعال سازی فیلتر کردن extension های فایل های ضمیمه مانند .scr ها جهت بلوکه کردن فایل های آلوده (در شبکه سازمان ها)

خودداری از بازکردن ضمایم ایمیل هایی با ارسال کننده های ناشناس مانند فایل های .zip، office، .pdf و ...

پاک کردن یا اسپم کردن ایمیل های مشکوک و هشدار به دیگران

استفاده از ابزارهای امنیتی مناسب در شبکه و روی سیستم مانند آنتی ویروس بروزشده

اما چنانچه سیستم شما به این بدافزار آلوده شد چه میتوان کرد؟ فوری ترین اقدام دراین خصوص اسکن سیستم با استفاده از یک آنتی ویروس مطمئن و بروز است. متاسفانه اغلب کاربران تا زمانی که با صفحه درخواست پول مواجه نشده اند، متوجه حضور این بد افزار در سیستم خود نمیشوند. آنتی ویروس قادر به حذف بد افزار است و در نتیجه با شروع مجدد سیستم این بد افزار فعال نخواهد شد.

متاسفانه هیچ راهی برای باز گرداندن فایل های رمز شده وجود ندارد چنانچه گزارش ماهر نیز به آن اشاره کرده است. همچنین سایر ابزارهای رمزگشایی که از سوی شرکت های امنیتی برای مقابله با باج گیرها عرضه شده در خصوص این بد افزار کاربردی ندارد. تنها راه باز گرداندن فایل ها Restore کردن آنها است، آن هم در صورتی که پیش از این از آنها نسخه پشتیبان یا Backup تهیه کرده باشید.

اما تحلیلگران بر این باور هستند که این بد افزار قبل از رمز کردن فایل ها اقدام به تهیه یک کپی از آنها میکند و بعد از رمز گذاری این کپی را پاک میکند در نتیجه این احتمال وجود دارد که با استفاده از یک نرم افزار Recovery قارد باشید تا فایل های خود را بازیابی کنید.

با همه این تفاسیر گزارش مرکز ماهر را باید یک گزارش جدی تلقی کرد. از آنجایی که بر اساس این گزارش نمونه هایی از این باج گیر در کشور رصد شده است، اکنون بر همه کاربران ایرانی لازم است تا اقدامات امنیتی را در این خصوص جدی بگیرند.