باجافزار Locky
ارسال شده: چهارشنبه می 11, 2016 7:24 am
این باجافزار برای اولینبار در ماه گذشته در سطح اینترنت گسترش یافته است ولی گزارشهای جدید حاکی از آن است که این باجافزار به سرعت در حال گسترش و آلوده کردن کاربران میباشد. این باجافزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ ۲.۴ میلیون یورو باج بگیرد.
به گزارش ایتنا از مرکز ماهر، این باجافزار برای اولینبار در ماه گذشته در سطح اینترنت گسترش یافته است ولی گزارشهای جدید حاکی از آن است که این باجافزار به سرعت در حال گسترش و آلوده کردن کاربران میباشد. این باجافزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ ۲.۴ میلیون یورو باج بگیرد.
این باجافزار ابتدا فایلها را بررسی نموده و پس از رمزکردن فایلها، پسوند .locky را به آنها اضافه میکند. کلید رمزگشایی فقط در اختیار تولیدکنندگان باجافزار قرار دارد و برای بهدست آوردن آن باید مبلغی معادل ۰.۵ بیتکوین تا حدود ۱ بیتکوین پرداخت شود.
در شکل زیر صفحهای که باجافزار Locky پس از رمزکردن فایلها به کاربر نمایش میدهد، نشان داده است. در این شکل درخواست های متفاوت باجافزار در زمانهای مختلف نشان داده شده است.
[IMG]http://itna.ir/images/docs/000042/042831/images/1.jpg[/IMG]
معمولترین روشی که باج افزار Locky برای ورود به سیستم قربانی از آن استفاده میکند، به ترتیب زیر است: باجافزار یک ایمیل که حاوی یک فایل ضمیمه میباشد، برای فرد قربانی ارسال میکند (Troj/DocDL-BCF). فرد قربانی پس از باز کردن فایل ضمیمه که یک فایل متنی است، با عباراتی نامفهوم روبرو میشود. باجافزار در ابتدای این فایل به قربانی پیشنهاد میدهد که اگر با عباراتی نادرست روبرو شده است، تنظیمات مربوط به macro را فعال کند.
[IMG]http://itna.ir/images/docs/000042/042831/images/2.jpg[/IMG]
اگر کاربر تنظیمات مربوط به macro را فعال کند، عبارات موجود در سند تصحیح نمیشوند و با این کار کد موجود در سند اجرا میشود که یک فایل را درون سیستم ذخیره و اجرا میکند. فایل ذخیره شده (Troj/Ransom-CGX) به عنوان یک downloader عمل میکند و payload نهایی بدافزار را از سرورهای مورد نظر دریافت میکند. این payload میتواند هرچیزی باشد ولی در این مورد معمولاً باجافزار Locky میباشد.
باجافزار Locky فایلهای سیستم را با لیستی از پسوندها بررسی میکند. این لیست شامل پسوندهای مربوط به فایلهای ویدئو، تصاویر، کدهای برنامهنویسی به زبانهای مختلف و فایلهای آفیس میباشد. باج افزار Locky حتی فایل wallet.dat که مربوط به حساب کاربری بیتکوین است را در صورت وجود، بررسی میکند.
به عبارت دیگر، اگر در حساب بیتکوین کاربر مبلغی بیش از آن چه که باجافزار درخواست کرده است، وجود داشته باشد، کاربر مجبور است تا مجدداً بیتکوین جدید خریداری کرده و مبلغ مورد درخواست باجافزار را پرداخت کند.
نکته قابل توجه این است که باجافزار Locky فایلهای VSS (Volume Snapshot Service) که به عنوان فایلهای shadow copies نیز معروف هستند را به طور کامل حذف میکند. Shadow copies روشی است که ویندوز به صورت live و بدون اینکه برای فعالیتهای کاربر مزاحمتی ایجاد شود، از درایوهای مشخص شده snapshot تهیه میکند.
پس از آنکه باجافزار Locky فایلهای مورد نظر را انتخاب و اقدام به رمزنگاری آنها کرد، این اتفاق را با تغییر تصویر پس زمینه به شکل زیر به کاربر گزارش میدهد.
[IMG]http://itna.ir/images/docs/000042/042831/images/3.jpg[/IMG]
در پیغام فوق، کلیه دستوراتی که بایستی فرد قربانی برای پرداخت باج انجام دهد تشریح شده است. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. همچنین بایستی توجه داشت که باج افزار Locky همانند دیگر باجافزارها تنها درایو C: را بررسی نمیکند. این باجافزار هر فایلی که در هر مسیری بر روی هر درایوی قابل دسترس باشد (شامل درایوهای usb متصل شده به سیستم و یا مکان های به اشتراک گذاشته شده مانند سرورها و یا دیگر سیستمهای کاربران با سیستمعاملهای مختلف (Windows, OS X, Linux)) را میتواند بررسی میکند.
اگر کاربری با سطح دسترسی مدیر وارد سیستم شده باشد و توسط باج افزار مورد حمله قرار گیرد، این حمله میتواند اثرات بسیار گستردهای در پی داشته باشد. به همین دلیل پیشنهاد میگردد که کاربران با سطح دسترسی محدود به سیستم وارد شده و در صورت نیاز برنامههای دلخواه را با سطح دسترسی مدیر اجرا کنند.
برای جلوگیری از آلوده شدن به این باجافزار نیز انجام اقدامات زیر توصیه میشود:
• به طور متناوب از اطلاعات نسخه پشتیبان تهیه شود و این نسخه در یک مکان مجزا از سیستم ذخیره شود.
• تنظیمات مربوط به macro در فایلهای ضمیمهای که از ایمیلهای ناشناس دریافت میگردند، نباید فعال گردد.
• در مورد فایلهای ضمیمه ناخواسته باید بیشتر احتیاط کرد.
• هنگام ورود به سیستم نبایستی با سطح دسترسی مدیر و یا سطح دسترسی بیشتر از آنچه که مورد نیاز است، وارد شد.
• از نرمافزارهای Microsoft Office viewers برای دیدن فایلهای مربوط به آفیس استفاده شود. این نرمافزارها به کاربر اجازه میدهد تا بدون بازکردن فایلهای آفیس در برنامههای word و یا دیگر برنامههای آفیس، بتوان محتوای آنها را مشاهده کرد. ضمن اینکه این نرمافزارها از ویژگی macro پشتیبانی نمیکنند.
• یکی دیگر از راههای ورود بدافزارها به سیستم، سوءاستفاده آنها از آسیبپذیریهای موجود درون نرمافزارهاست. توصیه میشود به طور متناوب نرمافزارهای موجود بر روی سیستم به روزرسانی شوند و وصلههای امنیتی ارائه شده برای آنها در اسرع وقت اعمال شود.
به گزارش ایتنا از مرکز ماهر، این باجافزار برای اولینبار در ماه گذشته در سطح اینترنت گسترش یافته است ولی گزارشهای جدید حاکی از آن است که این باجافزار به سرعت در حال گسترش و آلوده کردن کاربران میباشد. این باجافزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ ۲.۴ میلیون یورو باج بگیرد.
این باجافزار ابتدا فایلها را بررسی نموده و پس از رمزکردن فایلها، پسوند .locky را به آنها اضافه میکند. کلید رمزگشایی فقط در اختیار تولیدکنندگان باجافزار قرار دارد و برای بهدست آوردن آن باید مبلغی معادل ۰.۵ بیتکوین تا حدود ۱ بیتکوین پرداخت شود.
در شکل زیر صفحهای که باجافزار Locky پس از رمزکردن فایلها به کاربر نمایش میدهد، نشان داده است. در این شکل درخواست های متفاوت باجافزار در زمانهای مختلف نشان داده شده است.
[IMG]http://itna.ir/images/docs/000042/042831/images/1.jpg[/IMG]
معمولترین روشی که باج افزار Locky برای ورود به سیستم قربانی از آن استفاده میکند، به ترتیب زیر است: باجافزار یک ایمیل که حاوی یک فایل ضمیمه میباشد، برای فرد قربانی ارسال میکند (Troj/DocDL-BCF). فرد قربانی پس از باز کردن فایل ضمیمه که یک فایل متنی است، با عباراتی نامفهوم روبرو میشود. باجافزار در ابتدای این فایل به قربانی پیشنهاد میدهد که اگر با عباراتی نادرست روبرو شده است، تنظیمات مربوط به macro را فعال کند.
[IMG]http://itna.ir/images/docs/000042/042831/images/2.jpg[/IMG]
اگر کاربر تنظیمات مربوط به macro را فعال کند، عبارات موجود در سند تصحیح نمیشوند و با این کار کد موجود در سند اجرا میشود که یک فایل را درون سیستم ذخیره و اجرا میکند. فایل ذخیره شده (Troj/Ransom-CGX) به عنوان یک downloader عمل میکند و payload نهایی بدافزار را از سرورهای مورد نظر دریافت میکند. این payload میتواند هرچیزی باشد ولی در این مورد معمولاً باجافزار Locky میباشد.
باجافزار Locky فایلهای سیستم را با لیستی از پسوندها بررسی میکند. این لیست شامل پسوندهای مربوط به فایلهای ویدئو، تصاویر، کدهای برنامهنویسی به زبانهای مختلف و فایلهای آفیس میباشد. باج افزار Locky حتی فایل wallet.dat که مربوط به حساب کاربری بیتکوین است را در صورت وجود، بررسی میکند.
به عبارت دیگر، اگر در حساب بیتکوین کاربر مبلغی بیش از آن چه که باجافزار درخواست کرده است، وجود داشته باشد، کاربر مجبور است تا مجدداً بیتکوین جدید خریداری کرده و مبلغ مورد درخواست باجافزار را پرداخت کند.
نکته قابل توجه این است که باجافزار Locky فایلهای VSS (Volume Snapshot Service) که به عنوان فایلهای shadow copies نیز معروف هستند را به طور کامل حذف میکند. Shadow copies روشی است که ویندوز به صورت live و بدون اینکه برای فعالیتهای کاربر مزاحمتی ایجاد شود، از درایوهای مشخص شده snapshot تهیه میکند.
پس از آنکه باجافزار Locky فایلهای مورد نظر را انتخاب و اقدام به رمزنگاری آنها کرد، این اتفاق را با تغییر تصویر پس زمینه به شکل زیر به کاربر گزارش میدهد.
[IMG]http://itna.ir/images/docs/000042/042831/images/3.jpg[/IMG]
در پیغام فوق، کلیه دستوراتی که بایستی فرد قربانی برای پرداخت باج انجام دهد تشریح شده است. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. همچنین بایستی توجه داشت که باج افزار Locky همانند دیگر باجافزارها تنها درایو C: را بررسی نمیکند. این باجافزار هر فایلی که در هر مسیری بر روی هر درایوی قابل دسترس باشد (شامل درایوهای usb متصل شده به سیستم و یا مکان های به اشتراک گذاشته شده مانند سرورها و یا دیگر سیستمهای کاربران با سیستمعاملهای مختلف (Windows, OS X, Linux)) را میتواند بررسی میکند.
اگر کاربری با سطح دسترسی مدیر وارد سیستم شده باشد و توسط باج افزار مورد حمله قرار گیرد، این حمله میتواند اثرات بسیار گستردهای در پی داشته باشد. به همین دلیل پیشنهاد میگردد که کاربران با سطح دسترسی محدود به سیستم وارد شده و در صورت نیاز برنامههای دلخواه را با سطح دسترسی مدیر اجرا کنند.
برای جلوگیری از آلوده شدن به این باجافزار نیز انجام اقدامات زیر توصیه میشود:
• به طور متناوب از اطلاعات نسخه پشتیبان تهیه شود و این نسخه در یک مکان مجزا از سیستم ذخیره شود.
• تنظیمات مربوط به macro در فایلهای ضمیمهای که از ایمیلهای ناشناس دریافت میگردند، نباید فعال گردد.
• در مورد فایلهای ضمیمه ناخواسته باید بیشتر احتیاط کرد.
• هنگام ورود به سیستم نبایستی با سطح دسترسی مدیر و یا سطح دسترسی بیشتر از آنچه که مورد نیاز است، وارد شد.
• از نرمافزارهای Microsoft Office viewers برای دیدن فایلهای مربوط به آفیس استفاده شود. این نرمافزارها به کاربر اجازه میدهد تا بدون بازکردن فایلهای آفیس در برنامههای word و یا دیگر برنامههای آفیس، بتوان محتوای آنها را مشاهده کرد. ضمن اینکه این نرمافزارها از ویژگی macro پشتیبانی نمیکنند.
• یکی دیگر از راههای ورود بدافزارها به سیستم، سوءاستفاده آنها از آسیبپذیریهای موجود درون نرمافزارهاست. توصیه میشود به طور متناوب نرمافزارهای موجود بر روی سیستم به روزرسانی شوند و وصلههای امنیتی ارائه شده برای آنها در اسرع وقت اعمال شود.