مرکز ماهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در پیامی که در وبسایت خود منتشر کرده و در اختیار سایر رسانهها قرار داده است، درباره بدافزار باجگیر یا Ransomware با نام CTB Locker و اقدامات امنیتی پیرامون آن به همه کاربران ایرانی هشدار داده است.
بقیه در ادامه مطلب....
اکنون مدتی است، بدافزار CTB Locker در سرتاسر جهان قربانی میگیرد و از آنجایی که مستقیم دادهها و اطلاعات بعضا حساس کاربران را آماج میگیرد، از سوی شرکتهای امنیتی بزرگ همچون کسپرسکی و سیمانتک در رده بدافزارهای خطرناک طبقهبندی شده است. در همین خصوص مرکز «ماهر» در پیامی که در وبسایت خود منتشر کرده است، به همه کاربران ایرانی در خصوص خطرات این بدافزار و نکات امنیتی پیرامون آن هشدار داده است.
در پیام مرکز ماهر آمده است: پیرو گزارشهای به دست آمده به مرکز ماهر و بررسی موارد متعدد، نمونههایی از بدافزار باجگیر CTB locker در کشور رواج پیدا کرده است. این بدافزار از طریق پیوستهای ایمیل انتشار پیدا کرده و با رمز کردن فایلهای کاربر، برای بازگرداندن آنها درخواست پول میکند.
همچنین این مرکز در پیام خود اذعان کرده است: از لحاظ فنی راه حلی برای بازگرداندن این فایلهای رمز شده وجود ندارد. برای همین، از کاربران ایرانی درخواست کرده تا اقدامات و نکات امنیتی لازم در این مورد را در دستور کار خود قرار دهند.
اما CTB Locker چیست و نحوه کار آن به چه ترتیب است؟
پیش از این در گزارشی مفصل به موضوع بدافزارهای Ransomware یا باجگیر پرداختهایم. این گونه از بدافزارها بر خلاف سایر نمونهها، عملا با سیستمعامل کاری نداشته و هدف اصلی آنها، فایلها و اطلاعات شخصی کاربران است که با رمزگذاری یا Encrypt کردن این فایلها از کاربر میخواهند برای بازگرداندن اطلاعات خود، مبالغی را که بعضا تا هزاران دلار افزایش مییابد پرداخت کنند. از همین روی به آنها نام باجگیر را گفته میشود.
بدافزار CTB Locker نیز یک گونه بدافزار باجگیر است که البته از نوع شایع و خطرناک آن به شمار میرود. CTB Locker یا Curve-Tor-Bitcoin Locker که بعضا از آن با نام Critroni نیز یاد شده، بدافزاری است که تقریبا در میانه ماه جولای سال ۲۰۱۴ برای اولین بار ظاهر شد و همه نسخههای ویندوز از XP تا ویندوز ۸ را آماج گرفته است.
این بدافزار از تکنولوژی کریتوگرافیک بیضوی یا Eliptical Curve بهره میبرد و با سرور Command and Control بر روی TOR ارتباط برقرار میکند. همچنین مؤسسه امنیتی Kafein اظهار کرده که این بدافزار، بخشی از کیت مخصوصی است که به بهای حدود ۳ هزار دلار فروخته میشود و در نتیجه، احتمال وجود سایر بدافزارهای باجگیر مبتنی بر این کیت بسیار بالاست.
وقتی سیستم قربانی به این بدافزار آلوده میشود، در ابتدا تمامی فایلهای سیستم اسکن شده و رمز گذاری میشوند، به گونهای که دیگر قابل دسترسی نیستند. نسخههای قبلی این بدافزار فایلهای رمز شده را با پسوند CTB مشخص میکرد؛ اما در نسخههای جدید یک پسوند اتفاقی برای آنها انتخاب میشود.
بعد از آن یک صفحه به شما نمایش داده میشود که شما را از رمز شدن فایلها آگاه کرده و دستورالعملی برای پرداخت مبلغ جهت بازگرداندن آنها به شما ارائه میکند.
نسخههای جدید این بدافزار حتی به کاربر اجازه میدهد برای اطمینان پنج مورد از فایلهای رمز شده را رمزگشایی کند که این کار برای آن است که کاربر متوجه شود در صورت پرداخت مبلغ، فایلهای خود را بازپس خواهد گرفت و از این طریق برای پرداخت مبلغ تشویق شود.
چه اقدامات امنیتی برای مقابله با CTB Locker ضروری است؟
مرکز ماهر در گزارش خود به چند نمونه اقدامات امنیتی پیشگیرانه اشاره کرده است؛
- گرفتن فایل پشتیبان(backup) از اطلاعات مهم،
- بهکارگیری راهحلهای امنیتی جهت ایمیلها، مانند فعالسازی فیلتر کردن extensionهای فایلهای ضمیمه مانند scrها جهت بلوکه کردن فایلهای آلوده (در شبکه سازمانها)،
- خودداری از باز کردن ضمایم ایمیلهایی با ارسال کنندههای ناشناس مانند فایلهای. zip، office،. pdf و... ،
- پاک یا اسپم کردن ایمیلهای مشکوک و هشدار به دیگران،
- و استفاده از ابزارهای امنیتی مناسب در شبکه و روی سیستم مانند آنتی ویروس بهروز شده.
اما چنانچه سیستم شما به این بدافزار آلوده شد چه میتوان کرد؟ فوریترین کار اسکن سیستم با یک آنتیویروس مطمئن و بهروز است. متأسفانه اغلب کاربران تا هنگامی که با صفحه درخواست پول مواجه نشدهاند، متوجه حضور این بدافزار در سیستم خود نمیشوند. آنتی ویروس قادر به حذف بدافزار است و در نتیجه با شروع دوباهر سیستم این بدافزار فعال نخواهد شد.
متأسفانه هیچ راهی برای بازگرداندن فایلهای رمز شده وجود ندارد؛ چنانچه گزارش ماهر نیز به آن اشاره کرده است. همچنین سایر ابزارهای رمزگشایی که از سوی شرکتهای امنیتی برای مقابله با باجگیرها عرضه شده در خصوص این بدافزار کاربردی ندارد. تنها راه بازگرداندن فایلها یا Restore کردن آنهاست؛ آن هم در صورتی که پیش از این از آنها نسخه پشتیبان یا Backup تهیه کرده باشید.
اما تحلیلگران بر این باورند، این بدافزار قبل از رمز کردن فایلها، یک کپی از آنها تهیه و بعد از رمزگذاری این کپی را پاک میکند. در نتیجه احتمال دارد با استفاده از یک نرمافزار Recovery بتوانید تا فایلهای خود را بازیابی کنید.
با همه این تفاسیر، گزارش مرکز ماهر را باید یک گزارش جدی تلقی کرد. از آنجا که بر اساس این گزارش، نمونههایی از این باجگیر در کشور رصد شده است، اکنون بر همه کاربران ایرانی لازم است تا اقدامات امنیتی را در این خصوص جدی بگیرند.