محققان امنیتی آزمایشگاه پاندا سکیوریتی در گزارشی به بررسی کامل و جامع تروجان Crypto Locker پرداخته اند. این بدافزار تروجان جدیدی از خانواده تروجان های کلاهبردار و اخاذ است که اطلاعات حساس کاربران و حتی کسب و کارها را هدف حمله قرار داده است.

باین محققان معتقدند این بدافزار گونه توسعه یافته از یکی از بدنام ترین ویروس های مخرب به نام ویروس پلیس است که که برای برگرداندن اطلاعات کاربران از آنها مقایر زیادی پول طلب می کند.
اما این بدافزار پا را از ویروس پلیس هم فراتر گذاشته و برای پرداخت پول و بازیابی اطلاعات مدت زمان محدودی را در نظر گرفته است و هشدار می دهد پس از پایان زمان تعیین شده اطلاعات کاملاً از بین رفته و قابل بازگشت نیستند.



نصب نرم افزارهای مخرب


Crypto Lockerبا استفاده از تکنیک های مهندسی اجتماعی سعی در فریب کاربران دارد. قربانی با دریافت یک ایمیل حاوی یک فایل زیپ شده از یک شرکت حمل و نقل اولین قدم را به سوی آلودگی بر می دارد. این فایل زیپ همچنین حاوی یک رمز عبور است که چنانچه کاربر رمز را وارد کرده و برای بازکردن فایلPDF موجود تلاش کند، نویسندگان ویروس به هدف خود رسیده اند.

براساس تحقیقات محققان امنیتی آزمایشگاه پاندا سکیوریتی، Crypto Locker با سواستفاده و پنهان کردن خود پشت پسوندهای ویندوز، سعی در مخفی کاری هویت واقعی خود دارد.
به موازات اجرا شدن این فایل زیپ، این بدافزار نیز در سیستم قربانی مقیم شده و کار خود را آغاز می کند.

• Crypto Locker خود را در یکی از پوشه های سیستم قربانی ذخیره می کند
• یک کلید به محضرخانه (رجیستری) اضافه می کند تا مطمئن شود در هر بار که سیستم روشن می شود، این بدافزار نیز کار خود را آغاز خواهد کرد.

رمزگذاری فایل ها


به گزارش روابط عمومی ایمن رایانه پندار، نماینده پاندا سکیوریتی در ایران، بدافزار اخاذ Crypto Locker با توجه به الگوریتم های خاصی نسبت به رمز گذاری تصادفی فایل های قربانی اقدام می کند و با این اقدام امکان رمزگشایی توسط قربانی را از وی سلب می کنند و از این طریق وی را به خود وابسته نگه می دارند.

به محض آنکه بدافزار خود را بر روی سیستم قربانی اجرا می کند برای به دست آوردن کلید عمومی PK در تلاش است تا از این طریق سرور فعال C&C را پیدا کند.
پس از آنکه تروجان کلید PK را دانلود کرد خود را در محضرخانه و در مسیر زیر ذخیره می‌کند:

HKCU\Software\CryptoLocker\Public Key

سپس کار اصلی خود را که رمزگذاری اطلاعات و فایل های قربانی است شروع کرده و سپس دیسک سخت و کلیه‌ی درایوهای قابل دسترس کاربر را آلوده می کند.
نویسندگان این بدافزار از کاربران می خواهند برای خرید کلید بازگشایی فایل ها، یکی از فایل های رمزگذاری شده را برای وی ارسال کند و صبر کند تا کلید بازگشایی را بفرستد و اگر تا سه روز بعد از رمزگذاری این کار را انجام ندهد کلید رمزگشایی از بین خواهد رفت.

اگرچه ممکن است تهدید نویسنده ویروس چندان واقعی نبوده و امکان از بین رفتن کلید ظرف سه روز وجود نداشته باشد اما محققان امنیتی آزمایشگاه پاندا سکیوریتی به کلیه کاربران توصیه می کند برای جلوگیری از گرفتار شدن در دام این باج گیران از آنتی ویروس بروز و قوی استفاده کرده و بر روی لینک های ناآشنا کلیک نکنند.

barsam