فا

‫ باج‌افزار Locky

                                            باج‌افزار Locky



اين باج افزار براي اولين بار در ماه گذشته در سطح اينترنت گسترش يافته است ولي گزارش‌هاي جديد حاكي از آن است كه اين باج افزار به سرعت در حال گسترش و آلوده كردن كاربران مي باشد. اين باج افزار در اواسط ماه فوريه ميلادي شروع به كار كرده و در يكي از حملات بزرگ خود توانسته بيمارستان هاليوود را آلوده كند و مبلغ 2.4 ميليون يورو باج بگيرد.
اين باج افزار ابتدا فايل ها را بررسي نموده و پس از رمزكردن فايل ها، پسوند .locky را به آن ها اضافه مي كند. كليد رمزگشايي فقط در اختيار توليدكنندگان باج افزار قرار دارد و براي به‌دست آوردن آن بايد مبلغي معادل 0.5 بيت كوين تا حدود 1 بيت كوين پرداخت شود.
در شكل زير صفحه اي كه باج افزار Locky پس از رمزكردن فايل ها به كاربر نمايش مي دهد، نشان داده است. در اين شكل درخواست هاي متفاوت باج افزار در زمان هاي مختلف نشان داده شده است.





معمول ترين روشي كه باج افزار Locky براي ورود به سيستم قرباني از آن استفاده مي كند، به ترتيب زير است:   باج افزار يك ايميل كه حاوي يك فايل ضميمه مي باشد، براي فرد قرباني ارسال مي كند (Troj/DocDL-BCF). فرد قرباني پس از باز كردن فايل ضميمه كه يك فايل متني است، با عباراتي نامفهوم روبرو مي شود. باج افزار در ابتداي اين فايل به قرباني پيشنهاد مي دهد كه اگر با عباراتي نادرست روبرو شده است، تنظيمات مربوط به macro را فعال كند.



 


اگر كاربر تنظيمات مربوط به macro را فعال كند، عبارات موجود در سند تصحيح نمي شوند و با اين كار كد موجود در سند اجرا مي شود كه يك فايل را درون سيستم ذخيره و اجرا مي كند. فايل ذخيره شده (Troj/Ransom-CGX) به عنوان يك downloader عمل مي كند و payload نهايي بدافزار را از سرورهاي مورد نظر دريافت مي كند. اين payload مي تواند هرچيزي باشد ولي در اين مورد معمولاً باج افزار Locky مي باشد.
باج افزار Locky فايل هاي سيستم را با ليستي از پسوندها بررسي مي كند. اين ليست شامل پسوندهاي مربوط به فايل هاي ويدئو، تصاوير، كدهاي برنامه نويسي به زبان هاي مختلف و فايل هاي آفيس مي باشد. باج افزار Locky حتي فايل wallet.dat كه مربوط به حساب كاربري بيت كوين است را در صورت وجود، بررسي مي‌كند.
به عبارت ديگر، اگر در حساب بيت كوين كاربر مبلغي بيش از آن چه كه باج افزار درخواست كرده است، وجود داشته باشد، كاربر مجبور است تا مجدداً بيت كوين جديد خريداري كرده و مبلغ مورد درخواست باج افزار را پرداخت كند.
نكته قابل توجه اين است كه باج افزار Locky فايل‌هاي VSS (Volume Snapshot Service) كه به عنوان فايل هاي shadow copies نيز معروف هستند را به طور كامل حذف مي كند. Shadow copies روشي است كه ويندوز به صورت live و بدون اينكه براي فعاليت هاي كاربر مزاحمتي ايجاد شود، از درايوهاي مشخص شده snapshot تهيه مي كند.
پس از آنكه باج افزار Locky فايل هاي مورد نظر را انتخاب و اقدام به رمزنگاري آن ها كرد، اين اتفاق را با تغيير تصوير پس زمينه به شكل زير به كاربر گزارش مي دهد.

 




در پيغام فوق، كليه دستوراتي كه بايستي فرد قرباني براي پرداخت باج انجام دهد تشريح شده است. متأسفانه در حال حاضر به غير از داشتن نسخه پشتيبان از اطلاعات، هيچ راهي براي بازگرداندن اطلاعات وجود ندارد. همچنين بايستي توجه داشت كه باج افزار Locky همانند ديگر باج افزارها تنها درايو C: را بررسي نمي كند. اين باج افزار هر فايلي كه در هر مسيري بر روي هر درايوي قابل دسترس باشد (شامل درايوهاي usb متصل شده به سيستم و يا مكان هاي به اشتراك گذاشته شده مانند سرورها و يا ديگر سيستم هاي كاربران با سيستم عاملهاي مختلف (Windows, OS X, Linux)) را مي تواند بررسي مي كند.
اگر كاربري با سطح دسترسي مدير وارد سيستم شده باشد و توسط باج افزار مورد حمله قرار گيرد، اين حمله مي تواند اثرات بسيار گسترده اي در پي داشته باشد. به همين دليل پيشنهاد مي گردد كه كاربران با سطح دسترسي محدود به سيستم وارد شده و در صورت نياز برنامه هاي دلخواه را با سطح دسترسي مدير اجرا كنند.
براي جلوگيري از آلوده شدن به اين باج افزار نيز انجام اقدامات زير توصيه مي شود:
•    به طور متناوب از اطلاعات نسخه پشتيبان تهيه شود و اين نسخه در يك مكان مجزا از سيستم ذخيره شود.
•    تنظيمات مربوط به macro در فايل هاي ضميمه اي كه از ايميل هاي ناشناس دريافت مي گردند، نبايد فعال گردد.
•    در مورد فايل هاي ضميمه ناخواسته بايد بيشتر احتياط كرد.
•    هنگام ورود به سيستم نبايستي با سطح دسترسي مدير و يا سطح دسترسي بيشتر از آنچه كه مورد نياز است، وارد شد.
•    از نرم افزارهاي Microsoft Office viewers براي ديدن فايل هاي مربوط به آفيس استفاده شود. اين نرم افزارها به كاربر اجازه مي دهد تا بدون بازكردن فايل هاي آفيس در برنامه هاي word و يا ديگر برنامه هاي آفيس، بتوان محتواي آن ها را مشاهده كرد. ضمن اينكه اين نرم افزارها از ويژگي macro پشتيباني نمي كنند.
•    يكي ديگر از راه هاي ورود بدافزارها به سيستم، سوء استفاده آن ها از آسيب پذيري هاي موجود درون نرم افزارهاست. توصيه مي شود به طور متناوب نرم افزارهاي موجود بر روي سيستم به روز رساني شوند و وصله هاي امنيتي ارائه شده براي آن ها در اسرع وقت اعمال شود.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 اسفند 1394

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0