انتشار گونه جدیدی از باج‌افزار CTB-Locker (قسمت دوم)

شناسایی CTB-Locker

 گونه‌های جدید این بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ شناسایی شده‌اند.

همچنین استفاده از فایل به‌روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه‌های بدافزار CTB-Locker می‌باشد نیز توصیه می‌شود.

نحوه نصب فایل به‌روز‌رسانی موقت از طریق ابزار مدیریتیePolicy Orchestrator) ePO)

1) فایل دریافتی را باز کنید.

۲) در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید.
۳) بر روی دکمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید.

۴) پس از فعال کردن گزینه Extra DAT بر روی دکمه Browse کلیک نموده و فایل دریافت شده از پیوند فوق را انتخاب کنید. در ادامه بر روی دکمه Next کلیک نمایید.

۵)  پس از ظاهر شدن مشخصات فایل، بر روی دکمه Save کلیک کنید تا فایل در انباره قرار گیرد.

برای ضدویروس Bitdefender، به‌روز‌رسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونه‌های مختلف بدافزار CTB-Locker را به این ضدویروس اضافه می‌نماید.

هشدار گرچه اغلب ضدویروس‌ها قادر به شناسایی گونه‌های مختلف CTB-Locker هستند ولی در صورتیکه بدافزار فرصت داشته و موفق به رمزگذاری فایلهای کامپیوتر آلوده شود، هیچ راهکاری برای رمزگشایی فایلها و برگرداندن آنها به حالت اولیه وجود نخواهد داشت. هیچ‌یک از نرم‌افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار می‌کنند. تنها راه حل واقعی و عملی برای بازگرداندن فایلها، پرداخت باج است که برای برخی گونه‌های CTB-Locker مبلغی حدود ۳ میلیون تومان برای هر کامپیوتر هزینه خواهد داشت.

 

کامپیوتر آلوده به باج‌افزار CTB-Locker

 در اینجا از اولین پیام باج‌افزار که کاربر را از اتفاقی که افتاده مطلع می‌کند تا پیام‌های بعدی که کاربر را برای پرداخت باج و رمزگشایی داده‌های کامپیوتر، راهنمایی می‌نمایند، نشان داده می‌شود.

۱) با اولین پیام، کاربر از آلوده شدن به بدافزار CTB-Locker مطلع می‌شود. در این پیام توضیح داده شده که داده‌های کاربر رمزگذاری شده و برای بازگرداندن آن به حالت اولیه، باید ظرف ۹۶ ساعت، باج درخواستی پرداخت شود. همچنین به کاربر هشدار داده می‌شود که اقدام به پاکسازی بدافزار نکند، زیرا با اینکار برخی فایلهای مرتبط با بدافزار حذف می‌شود و امکان رمزگشایی داده‌ها دیگر وجود نخواهد داشت.

CTB-2

۲) در پیام اول، گزینه View وجود دارد که با زدن دکمه آن، فهرستی از فایلهای رمزگذاری شده کاربر برای اثبات به نمایش در می‌آید.

CTB-3

۳) در پیام اول، دکمه Next وجود دارد که با زدن آن، پیام جدیدی به نمایش در می‌آید. در این پیام، برای اثبات توانایی بدافزار در رمزگشایی داده ها، فرصت رمزگشایی چند فایل که بطور شانسی انتخاب می‌شوند، داده شده است.

CTB-4

۴) در پیام بعدی، جزئیات باجگیری ارائه می‌شود. در این پیام از کاربر خواسته می‌شود که مبلغ سه Bitcoin (واحد پول مجازی) به یک شماره حساب واریز کند تا عملیات رمزگشایی داده‌ها بطور خودکار آغاز گردد. شماره حساب ارائه شده منحصربفرد و ویژه آن کامپیوتر خاص است. در حقیقت، از این شماره حساب برای تشخیص اینکه باج واریز شده از بابت کدام کامپیوتر بوده است، استفاده می‌شود.

CTB-5

۵) نویسنده باج‌افزار CTB-Locker تمام جوانب کار را اندیشیده و برای هر مشکلی راه‌حلی دارد. اگر کاربر فاقد حساب و پول مجازی Bitcoin باشد، گزینه Exchange راهنمایی‌های لازم را به کاربر در این زمینه ارائه می‌کند. از جمله پیوندها و سایت‌های مناسب برای خرید Bitcoin به کاربر پیشنهاد می‌شود.

CTB-6

۶) در صورتیکه کاربر اقدام به خرید Bitcoin و واریز به حساب تعیین شده نماید، در مدت کمتر از نیم ساعت، پیامی مبنی بر آغاز رمزگشایی داده‌ها به نمایش در می‌آید. در نمونه‌هایی که مشاهده شده‌اند، داده‌ها بطور کامل و سالم رمزگشایی شده و به حالت اولیه خود باز می‌گردند.

CTB-7

۷) پس از تکمیل رمزگشایی داده‌های دیسک سخت کامپیوتر، بدافزار دلسوز و مال حلال خور ! قبل از محو و نابود کردن خود، از کاربر می‌خواهد تا اگر داده‌های او بر روی دیسک‌های USB Flash هم رمزگذاری شده‌اند، آنها را یک‌به‌یک به کامپیوتر متصل کند تا CTB-Locker اقدام به رمزگشایی آنها نیز نماید.

CTB-8

 

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

چهار × دو =