امنیت

فناوری اطلاعات

May 24, 2015
14:26 یکشنبه، 3ام خردادماه 1394
کد خبر: 70383

تحلیل رفتاری و توصیه های ضروری پاندا سکیوریتی جهت انسداد باج افزار CryptoLocker

CryptoLocker یکی از بدنام ترین باج افزارهای دنیای آی تی به حساب می آید که در سال های گذشته شاهد فعالیت های تخریبی آن بوده ایم اما با گذشت چند سال همچنان از آن به عنوان یک "مدل تجاری" نام برده می شود! روش تجارت آن مانند باجگیرهای دیگر، رمزنگاری برخی فایل های کاربران بوده که به ازای آزاد سازی آنها مبالغ هنگفتی از کاربران اخاذی می کند.
روند ترویج بدافزارهای باجگیر اینترنتی با انتشار بدافزاری تحت عنوان "ویروس پلیس" آغاز شد که با ترساندن کاربران به دلایل قانون گریزی و عدم رعایت استاندارد های اینترنتی، مبالغ زیادی را بعنوان جریمه نقدی از کاربران ساده اخاذی می کرد.
اما با گذشت زمان، باج افزارها بجای تظاهر کردن از سمت قانون، با شهامت کامل خود را یک بدافزار خطرناک معرفی کرده و فایل های کاربری را با الگوریتم پیشرفته ای رمزگذاری میکنند. بدافزار ادعا می کند که با دریافت مبالغ تعیین شده کلید رمز را در اختیارشان قرار می دهد که البته هیچگونه تضمینی برای بازگشت فایل های نابود شده آنها وجود نخواهد داشت.
 
 
روند نصب کریپتولاکر :
مجرمان سایبری با استفاده از تکنیک های مهندسی اجتماعی و از طریق هرزنامه ها، لینک های ناشناخته و شبکه های اجتماعی، کاربران را به نوعی فریب داده و فایل آلوده را به سیستم آنها منتقل می کنند. البته نسخه های جدید این بدافزار می تواند از طریق فایل های فشرده شده یا Zip و با یک کلیدواژه از قبل تعیین شده استخراج گردد.
در نسخه جدید کریپتولاکر، تشخیص هرزنامه بودن آن کار ساده ای نیست، چرا که می تواند ایمیل ارسالی از طرف یکی از مخاطبان شما برایتان ارسال شود و حتی در حالت پیچیده تر، خود را با ارسال ایمیلی از طرف یک شرکت معتبر که قبلاً با آن سر و کار داشتید معرفی میکند.
هنگامی که اسناد داخل فایل Zip شده را استخراج می کنید، تروجان اصلی که یک فایل اجرایی با پسوند .Exe می باشد، در کنار اسناد آزاد شده دیگر قرار میگیرد و در صورتی که کاربر بصورت اتفاقی روی آن کلیک کند، بدافزار کار خود را به سرعت آغاز می کند.
بنا بر اعلام شرکت پاندا سکیوریتی، باج افزار ها با تکیه بر رفتار پیش فرض ویندوز یعنی "پنهان نمودن پسوند فایل ها در آخر نام شان"، خود را در کنار اسناد دیگر قرار میدهند و کاربر بدون اطلاع از پسوند فایل استخراج شده روی آن کلیک می کند. به محض اجرای فایل مخرب، اقدامات زیر بر روی حافظه سیستم قربانی پیاده می شود:
ابتدا تروجان خود را در یک فولدر داخل پوشه پروفایل کاربری ویندوز (User’s Profile) ذخیره می کند. برای مثال پوشه : Local App Data و سپس یک کلید در بخش رجیستری ویندوز ایجاد می کند تا اطمینان داشته باشد که بعد از هر بار ری بوت سیستم، تروجان مجدد روی سیستم کاربر اجرا می شود.
در مرحله بعد دو پردازش مستقل را بصورت مستمر تکرار می کند: اولین پردازش که همان عملیات مخرب بدافزار می باشد و وظیفه دوم، محافظت کامل برای اجرای همیشگی پردازش اول می باشد.
 
کیپتولاکر چگونه فایل ها را کد گذاری می کند؟
تروجان یک کلید تصادفی متقارن برای هر یک از فایل های قفل گذاری شده تولید می کند و محتوای سیستم کاربر را با الگوریتم AES و همان کلید تصادفی، قفل می سازد. سپس با یک کلید تصادفی نامتقارن عمومی – اختصاصی به الگوریتم RSA کلیدهای تصادفی را رمزنگاری می کند به گونه ای که کلید های رمزنگاری بیش از 1024 بیت خواهند داشت. البته لابراتوارهای پاندا در باج افزارهای جدید، کلیدهای 2048 بیت هم مشاهده کرده است.
اینگونه بدافزار مطمئن می شود که تنها سازنده کلید RSA اختصاصی می تواند به کلید تصادقی متقارن استفاده شده در قفل گذاری فایلها دسترسی داشته باشد. با این تفاصیل، فایل های قفل شده هرگز قابل بازیابی نخواهند بود.
اولین بار که تروجان اجرا می شود، سعی می کند از طریق سرور های C&C خود، به کلید عمومی یا همان Public Key دست پیدا کند. اما برای دست یابی به سرورهای C&C لازم است تا بدافزار به سیستم "الگوریتم تولید دامنه" یا به اختصار DGA که وظیفه تولید نام دامنه های تصادفی را بر عهده دارد و در بین مجرمان سایبری به سرویس Mersenne Twist معروف است، مجهز باشد. 
به گزارش لابراتوارهای پاندا، این سرویس می تواند بصورت روزانه بیش از 1000 نام دامنه مختلف در یک اندازه مشخص را تولید نماید.
 
 
هنگامی که تروجان موفق می شود به کلید عمومی دست پیدا کند، آن را با نام HKCUSoftwareCryptoLockerPublic Key  در رجیستری ویندوز ذخیره می کند.
 
 
سپس عملیات قفل گذاری تک تک فایل های داخل دیسک سخت افزاری شروع می شود و درایو هر شبکه ای که کاربر قربانی به آن دسترسی دارد هم به بدافزار آلوده می شود. کریپتولاکر هر فایلی که در دسترس خود دارد را قفل گذاری نمی کند بلکه تنها پسوند های خاصی که در بدافزار معرفی شده را نابود می سازد:
 
 
علاوه بر این، کریپتولاکر هر فایلی که رمز می کند را در یک آدرس رجیستری مشخصی که در ذیل اشاره شده، لیست می کند:
HKEY_CURRENT_USERSoftwareCryptoLockerFiles
هنگامی که بدفزار به رمزنگاری فایل هایی که واجد شرایط فوق هستند خاتمه می دهد، از کاربر به ازای بازگرداندن فایل های نابود شده اش اخاذی می کند. همچنین مدت زمان پرداخت باج خیلی محدود در نظر گرفته می شود و در زمانی که کاربر تا زمان مقرر در جهت پرداخت هزینه اقدامی صورت ندهد، کلید رمز گشایی برای همیشه به فراموشی سپرده شده و درنتیجه تمامی فایل های خصوصی کاربر به حالت قفل شده باقی می ماند.
نکته جالب در خصوص این بدافزار اینجاست که مقادیر تعیین شده برای اخاذی برای هر قربانی به میزان ثابت نمی باشد. همچنین کریپتولاکر یک جدول تبدیل واحد پول بصورت جداگانه به قربانی ارائه می دهد.
 
 
توصیه های مهم پاندا جهت مقابله با کریپتولاکر:
از آنجایی که این بدافزار از طریق هرزنامه ها و تکنیک های مهندسی اجتماعی به سیستم کاربر نفوذ پیدا می کند، از این رو شرکت ایمن رایانه در مقابل حملات این نوع بدافزارهاتوصیه می کند که…
ایمیل های مشکوک و ناشناخته ای که خصوصاً به همراه خود فایل ضمیمه دارند را فوراً از صندوق ورودی خود حذف نمایید.
 
قابلیت "پنهان نمودن پسوند فایل ها" که بطور پیش فرض روی ویندوز وجود دارد را غیر فعال نمایید. اینگونه می توان با مواجه شدن به فایل های مشکوکی که پسوند یک فایل اجرایی دارند را شناسایی و از کلیک کردن روی آن خودداری کرد.
 
به شما یادآور می شویم که پشتیبان گیری از فایل های ضروری و حیاتی، امر مهمی در جهت بازگرداندن فایل های آسیب دیده تلقی می شود. علاوه بر این، حتی در صورتی که دیسک سخت افزاری تان آسیب ببیند، باز هم فایل های از بین رفته به سادگی قابل بازیافت خواهند بود.
 
استفاده از یک نرم افزار ضدویروس قدرتمند و البته مطمئن همانند آنتی ویروس های پاندا توصیه می شود تا بتواند با تحلیل های رفتاری، اینگونه بدافزارها را شناسایی و عملکرد آنها را قبل از فعال شدن مسدود سازد.
همچنین فعال سازی تمامی ماژول های حفاظتی جهت مقابله با بدافزار های باجگیر الزامی است. البته فراموش نشود که پس از نصب آنتی ویروس، همواره باید به فکر به روز رسانی های مستمر آن باشید.
خوشبختانه آنتی ویروس های پاندا با بهره گیری از سیستم "هوش یکپارچه" توانسته تا تمامی بدافزار های باجگیر و خطرناک را شناسایی و قبل از آسیب رسانی به فایل ها، آنها را به طور کامل نیز مسدود کند.
 
در پایان هم پیشنهاد می شود، در صورتی که فایل های شما رمزنگاری شد و هیچگونه نسخه پشتیبانی از آنها در دست نداشتید، باز هم هیچ گونه هزینه ای بابت بازیافت فایل های نابود شده خود پرداخت نکنید؛ چرا که با اینکار مسیر تازه ای در جهت درآمد زایی مجرمان اینترنتی بوجود می آید. علاوه بر این، با پرداخت هزینه مقرر شده، هیچگونه تضمینی برای بازیابی فایل های آسیب دیده تان وجود نخواهد داشت.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.