شبکه خبری دولت الکترونیک- مرکز ماهر ایران با اعلام انتشار نمونههای مختلف بدافزار باجگیر CTB-locker در کشور، به کاربران هشدار داد ضمن استفاده از راهکارهای امنیتی ایمیلها، از اطلاعات خود نسخه پشتیبان تهیه کنند.
بدافزار باجگیر CTB-locker اخیرا در کشور شیوع پیدا کرده و شنیده شده است که تعدادی از مراکز دولتی، مراکز تحقیقاتی و دانشگاهی و شرکتهای خصوصی کشور قربانی این بدافزار بودهاند.
نمونههای مختلف از بدافزار باج گیر CTB locker از طریق پیوستهای ایمیل انتشار پیدا کرده و با رمزگذاری فایلهای کاربر، برای بازگرداندن آنها درخواست پول میکند.
نتیجه کار این بدافزار مانند دیگر بدافزارهای باج گیر CryptoLocker و TorrentLocker، رمزگذاری فایلهایی با پسوندهای mp4, .pem, .jpg,.doc, .cer, .db و غیره با یک کلید نامشخص است.
بدافزار پس از پایان کار خود پیامی را روی صفحه نشان میدهد که روی آن به زبانهای مختلف نوشته شده است: «اطلاعات شخصی شما به وسیله CTB-locker رمزگذاری شده است. پروندهها، عکسها، بانکهای اطلاعاتی و دیگر فایلهای پراهمیت شما به وسیله قدرتمندترین حالت رمزگذاری و با پسوورد یکتای ویژه کامپیوتر شما، رمزگذاری شده است.
کلید رمزگشایی خصوصی، در یک سرور اینترنتی ذخیره شده است و کسی قادر به رمزگشایی فایلهای شما، تا زمانی که برای به دستآوردن این کلی خصوصی، پرداخت کنید، نخواهد بود.شما فقط 96 ساعت برای پرداخت فرصت دارید. اگر شما پول را در طول این مدت نفرستید، همه فایلهای شما برای همیشه رمزگذاری شده و هیچکس قادر به بازیافت آنها نخواهد بود.»
مرکز ماهر در اطلاعیهای اذعان کرد که از لحاظ فنی راه حلی برای بازگرداندن این فایلهای رمز شده وجود ندارد. بنابراین کاربران بایستی حتما این موارد را رعایت کنند:
گرفتن فایل پشتیبان(backup) از اطلاعات مهم
بکارگیری راه حلهای امنیتی جهت ایمیلها، مانند فعالسازی فیلتر کردن extensionهای فایلهای ضمیمه مانند .scrها جهت بلوکه کردن فایلهای آلوده (در شبکه سازمانها)
خودداری از بازکردن ضمایم ایمیلهایی با ارسال کنندههای ناشناس مانند فایلهای .zip، office، .pdf و…
پاک کردن یا اسپم کردن ایمیلهای مشکوک و هشدار به دیگران
استفاده از ابزارهای امنیتی مناسب در شبکه و روی سیستم مانند آنتی ویروس بروزشده
این بدافزار از طریق ایمیل ارسال شده و شبیه متنهای فکسی است. کاربران در صورت بازگشایی این فایل، یک متن خواهند دید، اما در عمل، یک فایل exe را بازکرده که به رمزگذاری اطلاعات میپردازد.این بدافزار از صاحبان اطلاعات درخواست بیتکوین میکند تا مبلغ پرداخت شده قابلیت ردگیری نداشته باشد. ظاهرا هنوز هیچ کدام از قربانیان ایرانی این بدافزار حاضر به پرداخت این پول نشدهاند چرا که هیچ تضمینی برای بازگرداندن این اطلاعات وجود ندارد.شنیده شده قربانیان از آنتیویروسهای به روز و خوبی هم بهره میبردند اما تغییر مداوم پیوست این فایل سبب شده تا در برخی موارد، آنتیویروسها موفق به شناسایی این تهدید نشوند و حتی در صورت شناسایی و پاکسازی فایل، امکان جلوگیری از عملکرد خرابکانه آن را به دست نیاورند.
