بدافزار cryptolocker

مقدمه

باج‌افزارها گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود می‌کنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند.

باج‌افزارها ابتدا در روسیه مشاهده شدند اما اخیراً تعداد حملات باج‌افزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالات متحده آمریکا افزایش یافته است.

درباره

گونه‌ای جدید از باج افزار با نام Cryptolocker توسط Symantec شناسایی شده که علاوه بر قطع دسترسی‌های کاربران به سیستم، داده‌های آن‌ها را رمز کرده و برای رمزگشایی از آن‌ها تقاضای باج می‌کند. با توجه به اینکه این بدافزار به‌طور خاص مستندات و فایل‌های صوتی-تصویری را هدف قرار داده پیش‌بینی می‌شود برای سازمان‌های و بخش‌های اداری طراحی شده باشد.

این باج‌افزار از خانواده Ransomcrypt می‌باشد. پیش‌تر خانواده‌ Ransomlock رایج بودند که بر روی رایانه کاربر محدودید ایجاد کرده و برای حذف محدودیت تقاضای باج می‌کردند.

سطح توزیع این باج‌افزار بسیار کم بوده و بیشتر در آمریکای شمالی مشاهده است. همچنین سیستم عامل‌های Windows 2000، Windows 7، Windows Server 2003، Windows Server 2008، Windows Vistaو Windows XP در معرض آلودگی به این بدافزار هستند.

شکل (۱) سطح گستردگی باج‌افزار

مشخصات فنی

این باج‌افزار با نام Trojan.Ransomcrypt.F یا Cryptolocker شناسایی شده و درحال گسترش است. این بدافزار فایل‌های کاربران از جمله عکس‌ها، مستندات Office و فایل‌های صوتی-تصویری را رمزگذاری می‌کند و سپس با فعال کردن یک شمارنده معکوس زمانی برای رمزگشایی از طریق پایگاه‌های پرداخت Bitcoin و MoneyPak تقاضای باج ۳۰۰ دلاری می‌کند.

شکل (۲) تصویر باج افزار

مسیر اصلی بهره برداری از این حمله رایان‌نامه‌ها می‌باشد که دارای یک پیوست Trojan.Zbot بوده و پس دریافت بدافزار Trojan.Ransomlock.F آن را با یک نام تصادفی درDocuments and Setting نصب می‌کند. این باج‌افزار از یک DGA[۱ برای تولید نام دامنه و یافتن مرکز فرمان کنترل فعال استفاده و سپس با آن ارتباط برقرار می‌کند.

شکل(۳) درخواست‌های DNS باج افزار

با توجه به اینکه این بدافزار از DGA برای تولید نام دامنه استفاده می‌کند مسدود کردن ترافیک آن تقریبا امکان پذیر نیست.

برخی از دامنه‌های این بدافزار در انگلستان و روسیه واقع شده‌اند.

شکل (۴) برخی از دامنه‌های تولید شده

بدافزار تلاش می‌کند تا ارتباط خود را با یکی از وب‌ها برقرار کند و زمانی که پاسخی دریافت کرد CryptoLocker ID را برای آن ارسال می‌کند که ظاهرا شناسه‌ای از رایانه کاربر می‌باشد. سرویس‌دهنده در پاسخ یک شناسه واحد را به عنوان کلید عمومی به بدافزار ارسال می‌کند.

بدافزار با این کلید عمومی تمامی داده‌هایی که یکی از پسوند‌های شکل (۵) را داشته باشد رمز کرده و از کاربر می‌خواهد تا برای ارایه کلید خصوصی در یک زمان تعیین شده هزینه‌ای را معادل ۳۰۰ دلار پرداخت کند.

ویژگی‌های خاص

این باج افزار از یک الگوریتم بالقوه برای DGA استفاده می‌کند. در الگوریتم‌های معمول بین ۰ تا ۱۰۰۰ نام تولید می‌شود اما این الگوریتم روزانه بیش از ۱۰۰۰ آدرس را تولید می‌کند.

شکل (۵) الگوریتم تولید نام باج افزار

همچنین این بدافزار در ظاهر از رمزگذاری RSA-2048 برای رمز کردن داده ها استفاده می کند اما بر اساس تحقیقات صورت گرفته ظاهرا این بدافزار از نوعی رمزگذاری AES نیز بهره گرفته است (AES + RSA) که بر خلاف RSA از شیوه متقارن استفاده می‌کند. داده‌های رایانه قربانی توسط AES رمزگذاری می‌شوند و کلید رمز در یک فایل رمز شده توسط بدافزار با رمزگذاری RSA ذخیره می‌گردد.

جهت بررسی اطلاعات رمز شده می‌توان رجیستری سیستم عامل را مشاهده کرد.

شکل (۶) لیست فایل‌های تغییر کرده

راه‌حل مقابله
اگر رایانه‌ شما به این بدافزار آلوده شده داده‌هایی که روی رایانه‌شما رمزشده‌اند دیگر قابل بازیابی نیستند. البته در چندین مورد حتی پس از پرداخت باج باز هم داده‌ها بازگردانی نشده‌اند. اما اگر می‌خواهید پیشگیری کنید و یا داده‌های جدید شما ما چند راه حل کلی را به شما توصیه می‌کنیم.

· رایان‌نامه‌هایی که به آن‌ها اطمینان ندارید را باز نکنید و فایل‌هایی را از آن دریافت نکنید.

· رایانه خود را به‌روز نگه دارید و تمامی وصله‌های ارایه شده توسط شرکت‌های تولید کننده را نصب کنید.

· مطمئن شوید سیستم‌عامل شما توسط ضد بدافزار به روز شده محافظت می‌شود.

· از تمامی داده‌های مورد اهمیت خود پشتیبان بگیرید و در محل امن ذخیره کنید.

· از نصب افزونه‌ها و نرم‌‌افزار‌های کاربری که به آن‌ها اطمینان ندارید جدا بپرهیزید.