انتشار گونه جدیدی از باج‌افزار CTB-Locker (قسمت اول)

نسخه جدیدی از برنامه گروگانگیر بر پایه‌های دامنه‌های پیازی (Onion Ransomware) در چند روز اخیر منتشر شده است که به نام‌های CTB-Locker جدید و یا Citroni شناخته می‌شود.

این بدافزار از انواع  بدافزار Cryptolocker محسوب می‌شود که تمامی فایلهای موجود بر روی ماشین میزبان خود را رمزنگاری کرده و برای بازگشایی آن مبلغی را طلب خواهد کرد.

تفاوت CTB-Locker  و یا Curve Tor Bitcoin Locker با دیگر نرم‌افزار‌های مشابه  خود استفاده از شبکه پروژه Tor برای محافظت و مخفی‌سازی خود برای کشف شدن است و با همین روش از اقدامات انجام شده برای از  کار انداختن آن، که از طریق قطع ارتباط سرورهای کنترل و دستور بدافزار ایستا انجام می‌شود جلوگیری می‌کند.

مسئله دیگری که کنترل‌کنندگان این بدافزار را محافظت می‌کند تنها روش پرداختی است که آنها می‌پذیرند، یعنی BitCoin.

مخفی کردن سرور‌های کنترل و دستور در شبکه ناشناسی Tor  جستجو برای مجرمین سایبری را بسیار پیچیده می‌کند، همچنین استفاده از روش رمزنگاری بسیار نا‌متعارف این بدافزار رمزگشایی فایل‌ها را غیرممکن می‌کند حتی اگر ترافیک بین تروجان و سرور آن نیز مداخله شود.

تمامی اینها این بدافزار را به یکی از خطرناکترین تهدیدات موجود و یکی از پیشرفترین بدافزارهای رمزنگار از بعد فنی تبدیل می‌کند.

بهترین روش دفاع در مقابل این و دیگر تهدیدات مشابه این است که از اطلاعاتتان هر روز نسخه پشتیبان داشته باشید.

علاوه بر استفاده از یک آنتی‌ویروس قدرتمند، نصب به روز‌رسانی‌ها و وصله‌های امنیتی سیستم‌عامل و نرم‌افزار‌های نصب شده بسیار مهم است. همچنین از بازگشایی ایمیل‌ها و پیوست‌های ناشناس و مشکوک خودداری کنید.

به هر حال از این دست حملات روز‌به‌روز بیشتر خواهد شد و شناسایی و مقابله با آنها نیز سختر خواهد بود.

بیشترین حملات ثبت شده از این بدافزار تا به امروز در روسیه و اکراین بوده است.

این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP و با یکی از نامهای زیر به کاربر ارسال می گردد:

malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip

payloads.zip

dessiatine.zip


استفاده از موضوعات (Subject) زیر نیز در هرزنامه‌های ارسالی توسط باجگیر گزارش شده است:

[Fax server] +07909 546940

copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368

Fax ZC9257943991110
New fax message from +07862-678057

 

عنوان CTB برگرفته از عبارت Curve Tor Bitcoin است که در آن Curve معرف رمزگذاری پیچیده  Elliptical Curve Encryption می‌باشد.

این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جمله PDF و XLS می‌کند.

پس از رمز شدن فایلهای مورد نظر بدافزار، یک پنجره مشابه تصویر زیر ظاهر می‌گردد.

CTB-1

با کلیک بر روی دکمه View فهرست فایلهای رمزگذاری شده نمایش می‌یابد.

عضویت در خبرنامه امنیتی پارس آوان
در دنیای مجازی امروز که تهدیدات روز به روز نه، ساعت به ساعت افزوده می‌شوند، آگاهی از دانش امنیتی برای مقابله با این تهدیدات جزء جدایی ناپذیر زندگی همه‌ی ما باید باشد.
با وارد کردن اطلاعاتتان در فرم زیر از این مزایا برخوردار شوید:
  • دریافت آخرین خبرهای امنیت شبکه و اطلاعات
  • اطلاع از جدیدترین تهدیدات و راه‌کارهای مقابله با آن‌ها
  • اطلاع از دوره‌های آموزشی امنیتی شرکت پارس آوان
  • اطلاع از همایش‌ها و سمینارهای شرکت پارس آوان
  • دریافت برنامه‌های رایگان امنیتی
  اطلاعات شما نزد ما کاملا محرمانه خواهد بود.
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
فایروال سوفوس چگونه کار می‌کند؟
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
کنترل کامل برنامه‌ها در سوفوس XG