در این مقاله برای آشنایی با بدافزار CTB-Locker و آگاهی از نحوه ی عملکرد این نوع بدافزار، میزان خطر و راه حل های جلوگیری از انتشار آن با ما همراه شوید.
بدافزار CTB-Locker نسل جدیدی از بدافزارهای باج گیر است که از طریق یک فایل zip در ایمیل وارد سیستم شده و شروع به دانلود بدافزار از طریق شبکه TOR می کند.این بد افزار پس از بارگذاری، فایل ها را رمزگذاری کرده و برای رمزگشایی آن ها درخواست پول می کند. تفاوت اصلی این بدافزار باج گیر با نسخه های قبلی در طراحی هوشمندانه آن است. این بدافزار در قبال دریافت هزینه تعیین شده، تمامی فایل های قفل شده قربانی را آزاد خواهد کرد. از این رو کارشناسان امنیتی از این بدافزار به عنوان “باج گیر خوش قول” یاد می کنند

.نحوه ی عملکرد بدافزار CTB-Locker

بدافزار CTB-Locker کلیه درایوها (حتی فلش یا هارد خارجی یا هر وسیله دارای حافظه) را جستجو کرده و فایل های دارای فرمت پرکاربرد و شناخته شده را می‌ یابد. فایل ها را از طریق الگوریتم RSA رمز نگاری می کند، سپس از شما برای رمزگشایی آن ها درخواست پول خواهد کرد که این باج خواسته شده باید ظرف ۹۶ ساعت ارائه شود.ممکن است کاربر در ابتدا فکر کند که ویروس فرمت فایل ها را تغییر می‌ دهد ولی آنچه در حقیقت رخ می‌دهد کاملا پیچیده است. ورژن‌ های اصلی فایل پاک می‌ شود ‌و کپی آن ها رمزگذاری می‌شود. ابزار رمزگشایی (ابزار key و decryptor) برای هر کامپیوتر آلوده منحصر به فرد بوده و در یک سرور remote ذخیره شده است که تنها از طریق Tor قابل دستیابی است. کاربر برای رمزگشایی به نصب Tor Browser Bundle نیاز دارد.

چگونه بدافزار
CTB – Locker را تشخیص دهیم؟



  • این بدافزار از طریق فایل های پیوست شده به ایمیل وارد سیستم کاربر می شود. معمولا فایل آلوده ضمیمه شده با پسوندهای .doc یا .rtf یا یک فایل فشرده حاوی فایلی با پسوند .scr می باشد.


  • برخی CTB-Lockerها، علاوه بر کدگذاری فایل ها، می توانند به لیست ایمیل مخاطبان کاربر، نفوذ کرده و از آن برای شناسایی قربانیان بالقوه استفاده نمایند. از همه نگران کننده تر آن است که فرد کلاهبردار با یک آدرس ایمیل جعلی کاربران را مورد هدف قرار می دهد. بنابراین ممکن است هرزنامه از طرف یکی از آشنایان برایتان ارسال شود.


  • تغییر نام فایل های آلوده به همراه اضافه شدن پسوند های تصادفی یکی از علائم این مشکل است مثلا itpro.pdf تبدیل می شود به itpro.pdf.siudf.


  • از علائم دیگر این بد افزار می توان به ایجاد دو فایل در Root My Document با پسوند های HTML و TXT اشاره کرد که البته تمامی این تغییرات قابل باز شدن با همان نرم افزار ها نیست.


بازیابی فایل‌های رمزگذاری شده :


با توجه به اینکه CTB Locker بدافزاری کاملا پیچیده و مرموز است، هیچ تضمینی وجود ندارد که بتوان فایل‌ ها را بدون پرداخت باج بازگرداند، با این حال روش‌های زیر را امتحان کنید:مهم ترین نکته برای جلوگیری از ورود این بدافزار، آگاه سازی کاربران داخل سازمان برای عدم بازگشایی ایمیل های ناخواسته می باشد. معمولا کاربران برای بازکردن فایل های ضمیمه از طریق خود ایمیل این کار را انجام می دهند و چون این بد افزار در فایل zip منتشر می شود می توانید مراحل زیر را نیز برای جلوگیری از باز شدن این فایل ها به صورت غیر عمدی توسط کاربران سازمان خود انجام دهید. این مراحل روی Active Directory و در یک سیستم Local توضیح داده شده اند.
۱- محدود کردن فایل های ZIP در زمان Extract شدن در Active Directory

ابتدا روی سرور AD خود در Run عبارت gpmc.msc را وارد کنید.
سپس مانند تصویر روی Policy مربوطه کلیک راست کرده و گزینه Edit را انتخاب کنید.
حال روی قسمت Software Restriction Policy کلیک راست کرده و گزینه New Software Restriction Policy را انتخاب کنید.
سپس به Additional Rules وارد شوید.
در فضای خالی صفحه کلیک راست کرده و گزینه New Path Rule را انتخاب کنید.
در پنجره باز شده در قسمت Path مسیرهای زیر را وارد کرده و Security Level را روی Disallowed قرار دهید.%AppData%\*.exe
%UserProfile%\Local Settings\*.exe
%LocalAppData%\*.exe
%AppData%\*\*.exe
%UserProfile%\Local Settings\*\*.exe
%LocalAppData%\*\*.exe
%UserProfile%\Local Settings\Temp\Rar*\*.exe
%LocalAppData%\Temp\Rar*\*.exe
%UserProfile%\Local Settings\Temp\7z*\*.exe
%LocalAppData%\Temp\7z*\*.exe
%UserProfile%\Local Settings\Temp\wz*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.zip\*.exe
%LocalAppData%\Temp\*.zip\*.exe
برای تغییر در سیستم ها به صورت Local، در Run گزینه SecPol.msc را وارد نمایید و همین مراحل را طی کنید.

۲- گرفتن Backup از داده ها

اگر شما از اطلاعات خود backup گرفته‌ اید تنها کاری که لازم است انجام دهید بازگردانی آن ها است. این سناریو در بهترین شرایط رخ می دهد و ممکن است همه افراد از اطلاعات خود backup نداشته باشند.

آیا سیستم شما تاکنون با بدافزار CTB-Locker آلوده شده است؟ شما برای مقابله با آن از چه راه حلی استفاده کرده اید؟ نظرات و تجربیات خود را در بخش دیدگاه با ما به اشتراک بگذارید.