نسخه جدیدی از برنامه گروگانگیر بر پایههای دامنههای پیازی (Onion Ransomware) در چند روز اخیر منتشر شده است که به نامهای CTB-Locker جدید و یا Citroni شناخته میشود.
این بدافزار از انواع بدافزار Cryptolocker محسوب میشود که تمامی فایلهای موجود بر روی ماشین میزبان خود را رمزنگاری کرده و برای بازگشایی آن مبلغی را طلب خواهد کرد.
تفاوت CTB-Locker و یا Curve Tor Bitcoin Locker با دیگر نرمافزارهای مشابه خود استفاده از شبکه پروژه Tor برای محافظت و مخفیسازی خود برای کشف شدن است و با همین روش از اقدامات انجام شده برای از کار انداختن آن، که از طریق قطع ارتباط سرورهای کنترل و دستور بدافزار ایستا انجام میشود جلوگیری میکند.
مسئله دیگری که کنترلکنندگان این بدافزار را محافظت میکند تنها روش پرداختی است که آنها میپذیرند، یعنی BitCoin.
مخفی کردن سرورهای کنترل و دستور در شبکه ناشناسی Tor جستجو برای مجرمین سایبری را بسیار پیچیده میکند، همچنین استفاده از روش رمزنگاری بسیار نامتعارف این بدافزار رمزگشایی فایلها را غیرممکن میکند حتی اگر ترافیک بین تروجان و سرور آن نیز مداخله شود.
تمامی اینها این بدافزار را به یکی از خطرناکترین تهدیدات موجود و یکی از پیشرفترین بدافزارهای رمزنگار از بعد فنی تبدیل میکند.
بهترین روش دفاع در مقابل این و دیگر تهدیدات مشابه این است که از اطلاعاتتان هر روز نسخه پشتیبان داشته باشید.
علاوه بر استفاده از یک آنتیویروس قدرتمند، نصب به روزرسانیها و وصلههای امنیتی سیستمعامل و نرمافزارهای نصب شده بسیار مهم است. همچنین از بازگشایی ایمیلها و پیوستهای ناشناس و مشکوک خودداری کنید.
به هر حال از این دست حملات روزبهروز بیشتر خواهد شد و شناسایی و مقابله با آنها نیز سختر خواهد بود.
بیشترین حملات ثبت شده از این بدافزار تا به امروز در روسیه و اکراین بوده است.
این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP و با یکی از نامهای زیر به کاربر ارسال می گردد:
malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip
payloads.zip
dessiatine.zip
استفاده از موضوعات (Subject) زیر نیز در هرزنامههای ارسالی توسط باجگیر گزارش شده است:
[Fax server] +07909 546940
copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368
Fax ZC9257943991110
New fax message from +07862-678057
عنوان CTB برگرفته از عبارت Curve Tor Bitcoin است که در آن Curve معرف رمزگذاری پیچیده Elliptical Curve Encryption میباشد.
این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جمله PDF و XLS میکند.
پس از رمز شدن فایلهای مورد نظر بدافزار، یک پنجره مشابه تصویر زیر ظاهر میگردد.
با کلیک بر روی دکمه View فهرست فایلهای رمزگذاری شده نمایش مییابد.