امنیت همواره در حال تحول است – به‌محض اینکه یک ویروس/تروجان/بدافزار جدید شروع به خودنمایی در سیستم کاربران می‌کند متخصصان امنیتی عملیات شناسایی آن را آغاز می‌کنند و به دنبال کشف  راه‌های تشخیص و مبارزه با آن هستند و احتمالاً اگر خوش‌شانس باشند می‌توانند راه پاک‌سازی آن را نیز پیدا کنند!

CTB-Locker چیست؟

پس از معرفی Cryptowall در سال ۲۰۱۴ در گزارش سیمانتک CTB-Locker بیشترین رشد را در خانواده باج افزار ها (چیزی از شما به گروگان گرفته و درقبال پس دادن از شما باج‌خواهی می‌کنند) داشته است.

ازنظر دسته‌بندی CTB-Locker را می‌توان در دسته تروجان ها قرار داد. نحوه کارش به این صورت است که پس‌ازآنکه وارد سیستم شما شد و آن را آلوده کرد شروع به جستجوی فایل‌ها بر اساس پسوند آنها (نوع فایل) می‌کند. اکثراً فایل‌هایی با پسوند .PDF, .XLS, and.PPT را موردحمله قرار می‌دهد و آنها را با شیوه رمزنگاری نامتقارن (PublicKey/PrivateKey) و بسیار قدرتمند (۲۰۴۸-bit RSA key) کدگذاری می‌کند. پس‌ازآن دو فایل .TXT ,.HTML بر روی سیستم ایجاد می‌کند که در آن روش “باز پس‌گیری” و درواقع نحوه ی دریافت کلید رمزگشایی فایل‌ها را برای قربانی تشریح کرده است.

همان‌طور که در تصاویر مشاهده می‌کنید قربانی را تهدید می‌کند در صورت عدم پرداخت “باج” تا زمان معین مبلغ “باج” دو برابر خواهد شد و درنهایت چنانچه بیش از ۹۶ ساعت طول بکشد کلید رمزگشایی از روی سرور پاک خواهد شد که این به معنی از دست رفتن اطلاعات برای همیشه(؟) است!

CTB-Locker از کجا آماده است؟

منشأ اصلی ویروس کاملاً ناشناخته است حتی در سیستم پرداخت و دریافت کلید رمزگشایی به دلیل اینکه از پول الکترونیکی (Bitcoin) و سرویس ناشناس Tor-Network استفاده کرده است عملاً قابل رهگیری نیست.

نحوه انتشار اصلی این تروجان از طریق هرزنامه‌های الکترونیک(spam)، تبلیغات تجاری آلوده و بدافزارهای دیگر است.نمونه ای از هرزنامه که حاوی یک فایل .ZIP آلوده است در تصویر زیر می‌بینید:

جالب است بدانید نسخه‌های جدید CBT-Locker پیغام‌ها را به زبان‌های مختلف نمایش  و زمان بیشتری به قربانی برای پرداخت باج می‌دهند در ضمن یک سرویس رمزگشا رایگان نیز فراهم کرده تا کاربر بتواند ۵ عدد از فایل‌هایش را رمزگشایی کند تا با خیال راحت “باج” را پرداخت کند!!!
و البته مبلغ باج را  از حدود ۰٫۲ بیت کوین (چیزی حدود ۲۴ دلار) به ۳ بیت کوین (چیزی بیش از ۶۰۰ دلار)  تغییر داده است.

آیا آلوده‌شده‌اید؟

۱ – ساده‌ترین کار برای جواب دادن به این سؤال سر زدن به فایل‌های درون سیستمتان است فایل‌هایی با پسوند .PDF ,.XLS,.DOC را اجرا کنید اگر برنامه مناسب باز شد ولی پیغام خطا دریافت کردید یا اطلاعات ناخوانا بود احتمالاً آلوده هستید ! (چنانچه محتویات فایل را بدون مشکلی مشاهده کردید بهتر است همین‌الان از آنها پشتیبان تهیه کنید)

۲- به پوشه My Documents خود سری بزنید و به دنبال فایل‌هایی با فرمت زیر باشید:

RANDOM_FILENAME.txt

RANDOM_FILENAME.html

چطور فایل‌هایمان را پس بگیریم؟

اگر آلوده‌شده‌اید و احتمالاً پشتیبانی (backup) از فایل‌هایتان ندارید تنها راه پیروی از دستوراتی است که در فایل HTML (پیغام باج‌گیر) آمده است!

1. Tor را دانلود کنید!
2. کیف پول Bitcoin بسازید!
3. Bitcoin مورد نیازتان را تهیه کنید(مثلاً صرافی) !
4. (پول را پرداخت کنید :ی )

*: از آنجا که نسخ مختلفی از این باج افزارها وجود دارند بهتر است قبل از پرداخت چندتایی از فایل‌هایتان را رمزگشایی کنید و سپس پول بدهید !!!

**: راه‌هایی ازجمله استفاده از SystemRestore یا restore previous file versions در نسخه‌های جدید CTB غیرقابل استفاده هستند چراکه از اوایل سال ۲۰۱۵ دستوراتی را برای حذف Shadow Copies در سیستم اجرا می‌کند.

چطور آلوده نشوید؟

حتماً از یک ضدویروس (AntiVirous) قدرتمند و به‌روز استفاده کنید، به فایل‌ها و تبلیغات مشکوک در اینترنت کاملاً بی‌اعتنا باشید، روی لینک‌های موجود در هرزنامه‌ها کلیک و یا فایل ضمیمه را دانلود نکنید.