شناسایی CTB-Locker
گونههای جدید این بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ شناسایی شدهاند.
همچنین استفاده از فایل بهروز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونههای بدافزار CTB-Locker میباشد نیز توصیه میشود.
نحوه نصب فایل بهروزرسانی موقت از طریق ابزار مدیریتیePolicy Orchestrator) ePO)
1) فایل دریافتی را باز کنید.
۲) در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید.
۳) بر روی دکمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید.
۴) پس از فعال کردن گزینه Extra DAT بر روی دکمه Browse کلیک نموده و فایل دریافت شده از پیوند فوق را انتخاب کنید. در ادامه بر روی دکمه Next کلیک نمایید.
۵) پس از ظاهر شدن مشخصات فایل، بر روی دکمه Save کلیک کنید تا فایل در انباره قرار گیرد.
برای ضدویروس Bitdefender، بهروزرسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونههای مختلف بدافزار CTB-Locker را به این ضدویروس اضافه مینماید.
هشدار ! گرچه اغلب ضدویروسها قادر به شناسایی گونههای مختلف CTB-Locker هستند ولی در صورتیکه بدافزار فرصت داشته و موفق به رمزگذاری فایلهای کامپیوتر آلوده شود، هیچ راهکاری برای رمزگشایی فایلها و برگرداندن آنها به حالت اولیه وجود نخواهد داشت. هیچیک از نرمافزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار میکنند. تنها راه حل واقعی و عملی برای بازگرداندن فایلها، پرداخت باج است که برای برخی گونههای CTB-Locker مبلغی حدود ۳ میلیون تومان برای هر کامپیوتر هزینه خواهد داشت.
کامپیوتر آلوده به باجافزار CTB-Locker
در اینجا از اولین پیام باجافزار که کاربر را از اتفاقی که افتاده مطلع میکند تا پیامهای بعدی که کاربر را برای پرداخت باج و رمزگشایی دادههای کامپیوتر، راهنمایی مینمایند، نشان داده میشود.
۱) با اولین پیام، کاربر از آلوده شدن به بدافزار CTB-Locker مطلع میشود. در این پیام توضیح داده شده که دادههای کاربر رمزگذاری شده و برای بازگرداندن آن به حالت اولیه، باید ظرف ۹۶ ساعت، باج درخواستی پرداخت شود. همچنین به کاربر هشدار داده میشود که اقدام به پاکسازی بدافزار نکند، زیرا با اینکار برخی فایلهای مرتبط با بدافزار حذف میشود و امکان رمزگشایی دادهها دیگر وجود نخواهد داشت.
۲) در پیام اول، گزینه View وجود دارد که با زدن دکمه آن، فهرستی از فایلهای رمزگذاری شده کاربر برای اثبات به نمایش در میآید.
۳) در پیام اول، دکمه Next وجود دارد که با زدن آن، پیام جدیدی به نمایش در میآید. در این پیام، برای اثبات توانایی بدافزار در رمزگشایی داده ها، فرصت رمزگشایی چند فایل که بطور شانسی انتخاب میشوند، داده شده است.
۴) در پیام بعدی، جزئیات باجگیری ارائه میشود. در این پیام از کاربر خواسته میشود که مبلغ سه Bitcoin (واحد پول مجازی) به یک شماره حساب واریز کند تا عملیات رمزگشایی دادهها بطور خودکار آغاز گردد. شماره حساب ارائه شده منحصربفرد و ویژه آن کامپیوتر خاص است. در حقیقت، از این شماره حساب برای تشخیص اینکه باج واریز شده از بابت کدام کامپیوتر بوده است، استفاده میشود.
۵) نویسنده باجافزار CTB-Locker تمام جوانب کار را اندیشیده و برای هر مشکلی راهحلی دارد. اگر کاربر فاقد حساب و پول مجازی Bitcoin باشد، گزینه Exchange راهنماییهای لازم را به کاربر در این زمینه ارائه میکند. از جمله پیوندها و سایتهای مناسب برای خرید Bitcoin به کاربر پیشنهاد میشود.
۶) در صورتیکه کاربر اقدام به خرید Bitcoin و واریز به حساب تعیین شده نماید، در مدت کمتر از نیم ساعت، پیامی مبنی بر آغاز رمزگشایی دادهها به نمایش در میآید. در نمونههایی که مشاهده شدهاند، دادهها بطور کامل و سالم رمزگشایی شده و به حالت اولیه خود باز میگردند.
۷) پس از تکمیل رمزگشایی دادههای دیسک سخت کامپیوتر، بدافزار دلسوز و مال حلال خور ! قبل از محو و نابود کردن خود، از کاربر میخواهد تا اگر دادههای او بر روی دیسکهای USB Flash هم رمزگذاری شدهاند، آنها را یکبهیک به کامپیوتر متصل کند تا CTB-Locker اقدام به رمزگشایی آنها نیز نماید.
