شناسایی باج‌افزار CTB-Locker در ایمیل‌های قلابی ارتقا به ویندوز ۱۰

قفل شده
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

شناسایی باج‌افزار CTB-Locker در ایمیل‌های قلابی ارتقا به ویندوز ۱۰

پست توسط saman » پنج‌شنبه آگوست 06, 2015 7:59 am

شناسایی باج‌افزار CTB-Locker در ایمیل‌های قلابی ارتقا به ویندوز ۱۰

به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ یک هفته بعد از شروع امکان ارتقای رایگان نسخه‌های قدیمی‌تر ویندوز به ویندوز ۱۰، مطالب زیادی درباره مشکلات مربوط به امنیت و حریم خصوصی کاربران در این سیستم عامل منتشر شد. یکی از جنجال‌برانگیزترین مشکلات ویندوز ۱۰ سرویس Wi-Fi Sense است؛ قابلیتی که به سرویس‌های آنلاین امکان می‌دهد شبکه اینترنت Wi-Fi کاربران را شناسایی و به آن دسترسی پیدا کنند.

هکرها با اگاهی از این مطلب دست به کار شده‌اند. طبق انتظار هرزنامه‌ها و پیام‌های فیشینگ مربوط به ویندوز ۱۰ نیز از راه رسید و در یکی از خطرناک‌ترین این هرزنامه‌ها مهاجمان سعی می‌کنند خود را جای مایکروسافت جا بزنند تا از این طریق یک باج‌افزار روی سیستم آنها نصب کنند.

به گفته محققان مرکز تحقیقاتی Cisco TALOS هرزنامه‌ای همراه با یک فایل پیوست آلوده برای بسیاری از کاربران ارسال شده که مهاجمان آن را به‌روز رسانی جدید ویندوز ۱۰ اعلام کرده و کاربران را به دانلود و اجرای آن تشویق می‌کنند.
کاربران با اجرای این فایل آلوده که درون یک فایل زیپ قرار دارد ناآگاهانه باج‌افزار CTB-Locker را روی سیستم نصب می‌کنند. CTB-Locker عملکردی مشابه اغلب باج‌افزارها دارد؛ این بدافزار از طریق ایمیل منتشر شده، کاربران قربانی آن را دانلود می‌کنند و باج‌افزار بعد از نفوذ به سیستم، اسناد و فایل‌های کابران را رمزگذاری کرده و در ازای رمزگشایی آنها از آنها پول اینترنتی بیت‌کوین طلب می‌کند. این بدافزار ۹۶ ساعت به کاربران مهلت پرداخت می‌دهد که این مدت زمان کوتاه‌تر از ضرب‌العجل باج‌افزارهای مشابه است.

باج‌افزار CTB که مخفف Curve-Tor-Bitcoin بوده و با نام Critroni هم شناخته می‌شود از شیوه‌ای با عنوان elliptic curve cryptography برای رمزنگاری استفاده می‌کند که مهاجمان در آن از طریق شبکه ناشناس Tor کنترل عملیات مربوط به اخذ باج و رمزگشایی را در دست می‌گیرند.

موج هرزنامه‌هایی که برای ویندوز ۱۰ به‌راه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوری‌های روز مجهز هستند. علاوه بر این کاربران برای ارتقای رایگان سیستم عامل خود به ویندوز ۱۰ باید در صف منتظر بمانند. این درحالیست که بعضی از هرزنامه‌ها کاربران را گول می‌زنند که یک ایمیل رسمی برای ارتقای سیستم عامل خود از سوی مایکروسافت دریافت کرده‌اند؛ اما به اعلام مایکروسافت، ارتقا و به‌روز رسانی معتبر برای ویندوز نه از طریق ایمیل بلکه از طریق دانلود مستقیم صورت می‌گیرد.
اما این ایمیل‌ها چندان هم بی‌عیب و نقص نبوده و نکاتی دارند که جعلی بودن آنها را نشان می‌دهد.

Cisco TALOS در پیامی در وبلاگ خود نوشت: «(در این هرزنامه‌ها) بعضی از حروف و کاراکترها به درستی کنار هم نمی‌نشینند. این مساله ممکن است به دلیل جامعه کاربری هدف آنها باشد که امکان خوانش بعضی از حروف روی سیستم آنها تعبیه نشده و یا به دلیل استفاده مهاجمان از کاراکترها و حروف‌های غیراستاندارد جهانی باشد.»
مهاجمان با گنجاندن دو ویژگی عمده دیگر در این هرزنامه‌ها سعی می‌کنند ظاهر موجهی به آنها ببخشند؛ یکی استفاده از زبان و بیانی مشابه ایمیل‌ها و پیام‌های مایکروسافت و دیگری پیام هشداری که ادعا می‌کند این ایمیل به‌وسیله MailScanner اسکن شده و سالم است.
«این هرزنامه حاوی لینکی به یک فیلتر ایمیل معتبر و متن باز است به همین دلیل برخی کاربران خیال می‌کنند فایل پیوست آن سالم و مطمئن است.»

محققان همچنین شیوه رمزنگاری CTB-Locker را بهینه‌تر از اغلب باج‌افزارهای مشابه دانستند. کارشناسان Cisco با بررسی مرکز کنترل و فرمان CTB-Locker دریافتند که این بدافزار از آدرس‌های اینترنتی روی پورت‌های نظیر ۹۰۰۱، ۴۴۳، ۱۴۴۳ و ۶۶۶ استفاده می‌کند. Cisco همچنین اعلام کرد که برای تماس‌ها و ارتباطات این باج‌افزار پورت ۲۱ به‌کار گرفته شده است، پورتی که عمدتا برای ترافیک FTP خروجی استفاده می‌شود.

Cisco در قسمت دیگری از گزارش خود نوشت: «حجم قابل توجهی از داده‌ها بین سیستم‌ها رد و بدل می‌شود که این یک مساله عجیب در مورد باج‌افزارهاست. بررسی‌های ترافیک شبکه نشان می‌دهد که ترافیک حدود ۱۰۰ شبکه از طریق آدرس‌های IP گوناگون در جریان بوده است.»

http://itna.ir/vdciv5ap.t1ayy2bcct.html

نمایه کاربر
mohammadktabriz
پست: 740
تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm

پست توسط mohammadktabriz » پنج‌شنبه سپتامبر 17, 2015 2:12 pm

یک ایمیل از طرف مایکروسافت اومده مشکوک می زنه :confused:

[IMG]http://s3.picofile.com/file/8212554168/Capture.PNG[/IMG]

Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » یک‌شنبه سپتامبر 20, 2015 11:22 am

بله ایمیل خیلی مشکوک است.
لطفا برای virus@amnpardaz.com فوروارد کنید.

نمایه کاربر
mohammadktabriz
پست: 740
تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm

پست توسط mohammadktabriz » یک‌شنبه سپتامبر 20, 2015 11:34 am

راستش بر روی همه لینکاش کلیک کردم اتفاقی نیوفتاد سایت مایکروسافت باز شد

قفل شده

بازگشت به “ضدویروس پادویش”