انتشار گونه جدیدی از باج‌افزار CTB-Locker (قسمت دوم)

شناسایی CTB-Locker

 گونه‌های جدید این بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ شناسایی شده‌اند.

همچنین استفاده از فایل به‌روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه‌های بدافزار CTB-Locker می‌باشد نیز توصیه می‌شود.

نحوه نصب فایل به‌روز‌رسانی موقت از طریق ابزار مدیریتیePolicy Orchestrator) ePO)

1) فایل دریافتی را باز کنید.

۲) در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید.
۳) بر روی دکمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید.

۴) پس از فعال کردن گزینه Extra DAT بر روی دکمه Browse کلیک نموده و فایل دریافت شده از پیوند فوق را انتخاب کنید. در ادامه بر روی دکمه Next کلیک نمایید.

۵)  پس از ظاهر شدن مشخصات فایل، بر روی دکمه Save کلیک کنید تا فایل در انباره قرار گیرد.

برای ضدویروس Bitdefender، به‌روز‌رسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونه‌های مختلف بدافزار CTB-Locker را به این ضدویروس اضافه می‌نماید.

هشدار گرچه اغلب ضدویروس‌ها قادر به شناسایی گونه‌های مختلف CTB-Locker هستند ولی در صورتیکه بدافزار فرصت داشته و موفق به رمزگذاری فایلهای کامپیوتر آلوده شود، هیچ راهکاری برای رمزگشایی فایلها و برگرداندن آنها به حالت اولیه وجود نخواهد داشت. هیچ‌یک از نرم‌افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار می‌کنند. تنها راه حل واقعی و عملی برای بازگرداندن فایلها، پرداخت باج است که برای برخی گونه‌های CTB-Locker مبلغی حدود ۳ میلیون تومان برای هر کامپیوتر هزینه خواهد داشت.

 

کامپیوتر آلوده به باج‌افزار CTB-Locker

 در اینجا از اولین پیام باج‌افزار که کاربر را از اتفاقی که افتاده مطلع می‌کند تا پیام‌های بعدی که کاربر را برای پرداخت باج و رمزگشایی داده‌های کامپیوتر، راهنمایی می‌نمایند، نشان داده می‌شود.

۱) با اولین پیام، کاربر از آلوده شدن به بدافزار CTB-Locker مطلع می‌شود. در این پیام توضیح داده شده که داده‌های کاربر رمزگذاری شده و برای بازگرداندن آن به حالت اولیه، باید ظرف ۹۶ ساعت، باج درخواستی پرداخت شود. همچنین به کاربر هشدار داده می‌شود که اقدام به پاکسازی بدافزار نکند، زیرا با اینکار برخی فایلهای مرتبط با بدافزار حذف می‌شود و امکان رمزگشایی داده‌ها دیگر وجود نخواهد داشت.

CTB-2

۲) در پیام اول، گزینه View وجود دارد که با زدن دکمه آن، فهرستی از فایلهای رمزگذاری شده کاربر برای اثبات به نمایش در می‌آید.

CTB-3

۳) در پیام اول، دکمه Next وجود دارد که با زدن آن، پیام جدیدی به نمایش در می‌آید. در این پیام، برای اثبات توانایی بدافزار در رمزگشایی داده ها، فرصت رمزگشایی چند فایل که بطور شانسی انتخاب می‌شوند، داده شده است.

CTB-4

۴) در پیام بعدی، جزئیات باجگیری ارائه می‌شود. در این پیام از کاربر خواسته می‌شود که مبلغ سه Bitcoin (واحد پول مجازی) به یک شماره حساب واریز کند تا عملیات رمزگشایی داده‌ها بطور خودکار آغاز گردد. شماره حساب ارائه شده منحصربفرد و ویژه آن کامپیوتر خاص است. در حقیقت، از این شماره حساب برای تشخیص اینکه باج واریز شده از بابت کدام کامپیوتر بوده است، استفاده می‌شود.

CTB-5

۵) نویسنده باج‌افزار CTB-Locker تمام جوانب کار را اندیشیده و برای هر مشکلی راه‌حلی دارد. اگر کاربر فاقد حساب و پول مجازی Bitcoin باشد، گزینه Exchange راهنمایی‌های لازم را به کاربر در این زمینه ارائه می‌کند. از جمله پیوندها و سایت‌های مناسب برای خرید Bitcoin به کاربر پیشنهاد می‌شود.

CTB-6

۶) در صورتیکه کاربر اقدام به خرید Bitcoin و واریز به حساب تعیین شده نماید، در مدت کمتر از نیم ساعت، پیامی مبنی بر آغاز رمزگشایی داده‌ها به نمایش در می‌آید. در نمونه‌هایی که مشاهده شده‌اند، داده‌ها بطور کامل و سالم رمزگشایی شده و به حالت اولیه خود باز می‌گردند.

CTB-7

۷) پس از تکمیل رمزگشایی داده‌های دیسک سخت کامپیوتر، بدافزار دلسوز و مال حلال خور ! قبل از محو و نابود کردن خود، از کاربر می‌خواهد تا اگر داده‌های او بر روی دیسک‌های USB Flash هم رمزگذاری شده‌اند، آنها را یک‌به‌یک به کامپیوتر متصل کند تا CTB-Locker اقدام به رمزگشایی آنها نیز نماید.

CTB-8

 

عضویت در خبرنامه امنیتی پارس آوان
در دنیای مجازی امروز که تهدیدات روز به روز نه، ساعت به ساعت افزوده می‌شوند، آگاهی از دانش امنیتی برای مقابله با این تهدیدات جزء جدایی ناپذیر زندگی همه‌ی ما باید باشد.
با وارد کردن اطلاعاتتان در فرم زیر از این مزایا برخوردار شوید:
  • دریافت آخرین خبرهای امنیت شبکه و اطلاعات
  • اطلاع از جدیدترین تهدیدات و راه‌کارهای مقابله با آن‌ها
  • اطلاع از دوره‌های آموزشی امنیتی شرکت پارس آوان
  • اطلاع از همایش‌ها و سمینارهای شرکت پارس آوان
  • دریافت برنامه‌های رایگان امنیتی
  اطلاعات شما نزد ما کاملا محرمانه خواهد بود.
PHN0eWxlPi5oX2lmcmFtZS1hcGFyYXRfZW1iZWRfZnJhbWV7cG9zaXRpb246cmVsYXRpdmU7fSAuaF9pZnJhbWUtYXBhcmF0X2VtYmVkX2ZyYW1lIC5yYXRpbyB7ZGlzcGxheTpibG9jazt3aWR0aDoxMDAlO2hlaWdodDphdXRvO30gLmhfaWZyYW1lLWFwYXJhdF9lbWJlZF9mcmFtZSBpZnJhbWUge3Bvc2l0aW9uOmFic29sdXRlO3RvcDowO2xlZnQ6MDt3aWR0aDoxMDAlOyBoZWlnaHQ6MTAwJTt9PC9zdHlsZT48ZGl2IGNsYXNzPSJoX2lmcmFtZS1hcGFyYXRfZW1iZWRfZnJhbWUiPiA8c3BhbiBzdHlsZT0iZGlzcGxheTogYmxvY2s7cGFkZGluZy10b3A6IDU3JSI+PC9zcGFuPjxpZnJhbWUgc3JjPSJodHRwczovL3d3dy5hcGFyYXQuY29tL3ZpZGVvL3ZpZGVvL2VtYmVkL3ZpZGVvaGFzaC9QVVE2Ti92dC9mcmFtZSIgYWxsb3dGdWxsU2NyZWVuPSJ0cnVlIiB3ZWJraXRhbGxvd2Z1bGxzY3JlZW49InRydWUiIG1vemFsbG93ZnVsbHNjcmVlbj0idHJ1ZSIgPjwvaWZyYW1lPjwvZGl2Pg==
فایروال سوفوس چگونه کار می‌کند؟
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
کنترل کامل برنامه‌ها در سوفوس XG