انتشار گونه جدیدی از باج‌افزار CTB-Locker (قسمت اول)

نسخه جدیدی از برنامه گروگانگیر بر پایه‌های دامنه‌های پیازی (Onion Ransomware) در چند روز اخیر منتشر شده است که به نام‌های CTB-Locker جدید و یا Citroni شناخته می‌شود.

این بدافزار از انواع  بدافزار Cryptolocker محسوب می‌شود که تمامی فایلهای موجود بر روی ماشین میزبان خود را رمزنگاری کرده و برای بازگشایی آن مبلغی را طلب خواهد کرد.

تفاوت CTB-Locker  و یا Curve Tor Bitcoin Locker با دیگر نرم‌افزار‌های مشابه خود استفاده از شبکه پروژه Tor برای محافظت و مخفی‌سازی خود برای کشف شدن است و با همین روش از اقدامات انجام شده برای از  کار انداختن آن، که از طریق قطع ارتباط سرورهای کنترل و دستور بدافزار ایستا انجام می‌شود جلوگیری می‌کند.

مسئله دیگری که کنترل‌کنندگان این بدافزار را محافظت می‌کند تنها روش پرداختی است که آنها می‌پذیرند، یعنی BitCoin.

مخفی کردن سرور‌های کنترل و دستور در شبکه ناشناسی Tor جستجو برای مجرمین سایبری را بسیار پیچیده می‌کند، همچنین استفاده از روش رمزنگاری بسیار نا‌متعارف این بدافزار رمزگشایی فایل‌ها را غیرممکن می‌کند حتی اگر ترافیک بین تروجان و سرور آن نیز مداخله شود.

تمامی اینها این بدافزار را به یکی از خطرناکترین تهدیدات موجود و یکی از پیشرفترین بدافزارهای رمزنگار از بعد فنی تبدیل می‌کند.

بهترین روش دفاع در مقابل این و دیگر تهدیدات مشابه این است که از اطلاعاتتان هر روز نسخه پشتیبان داشته باشید.

علاوه بر استفاده از یک آنتی‌ویروس قدرتمند، نصب به روز‌رسانی‌ها و وصله‌های امنیتی سیستم‌عامل و نرم‌افزار‌های نصب شده بسیار مهم است. همچنین از بازگشایی ایمیل‌ها و پیوست‌های ناشناس و مشکوک خودداری کنید.

به هر حال از این دست حملات روز‌به‌روز بیشتر خواهد شد و شناسایی و مقابله با آنها نیز سختر خواهد بود.

بیشترین حملات ثبت شده از این بدافزار تا به امروز در روسیه و اکراین بوده است.

این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP و با یکی از نامهای زیر به کاربر ارسال می گردد:

malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip

payloads.zip

dessiatine.zip

استفاده از موضوعات (Subject) زیر نیز در هرزنامه‌های ارسالی توسط باجگیر گزارش شده است:

[Fax server] +07909 546940

copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368

Fax ZC9257943991110
New fax message from +07862-678057

عنوان CTB برگرفته از عبارت Curve Tor Bitcoin است که در آن Curve معرف رمزگذاری پیچیده  Elliptical Curve Encryption می‌باشد.

این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جمله PDF و XLS می‌کند.

پس از رمز شدن فایلهای مورد نظر بدافزار، یک پنجره مشابه تصویر زیر ظاهر می‌گردد.

با کلیک بر روی دکمه View فهرست فایلهای رمزگذاری شده نمایش می‌یابد.