نحوه عملکرد بدافزار CTB Lockerچگونه است ؟



بدافزار CTB Locker  از نسل بدافزارهای موسوم به Ransomware است که  هدف اصلی آنها باجگیری اینترنتی است.گونه های متعددی از بدافزارهای باجگیر کشف و شناسایی شده اند که عملکرد همه آنها در یک چیز خلاصه می گردد، رمزگذاری و باج خواهی جهت رمزگشایی از فایلهای مهم 


گونه های جدید بدافزارهای باج گیر از اواسط جولای 2014 پدیدار شدند که نمونه های اولیه آنها در 10 جولای 2014 شناسایی شدند. این نوع آلودگی تمامی فایلهای اطلاعاتی شما را رمزگذاری کرده و آنها را با پسوند .CTBL نام گذاری می کند.

نحوه عملكرد بدافزار CTB Locker چگونه است؟

این بدافزار معمولاً از طریق فایل ضمیمه شده در ایمیل های متفرقه وارد سیستم کاربر می شود، آلودگی معمولاً با دریافت یک ایمیل با عنوان"fax"  آغاز می شود. این ایمیل حاوی یک فایل ضمیمه آلوده به ویروس  Win32/TrojanDownloader.Elenoocka.A  است که وظیفه اصلی آن دریافت بدافزارهای دیگر از طریق ارتباط اینترنتی است. در این مورد ویروس Win32/FileCoder.DA را که به CTB-Locker مشهور است را بر روی سیستم قربانی بارگذاری وبه اجرا می گذارد.

فایلهای الصاقی به نامه جعلی با فرمت zip بوده و ممکن است با اسامی زیر قابل مشاهده باشد :
malformed.zip - plenitude.zip  - inquires.zip - simoniac.zip - faltboat.zip - incurably.zip - payloads.zip - dessiatine.zip - mediatize.zip
مشابه تصویر زیر :


موضوع نامه جعلی نیز با عناوین زیر مشاهده شده است :
[Fax server] +07909546940
copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368
Fax ZC9257943991110
New fax message from +07862-678057

در مرحله اول معمولاٌ بدافزار CBT Locker یک نسخه از خود را با نام نامشخصی (به طول حداقل 7 کرکتر) که به طور اتفاقی تولید کرده است را در مسیر  پوشه %temp% نظیر نمونه زیر کپی می کند :
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fzjujkn.exe
سپس این بد افزار یک scheduled task با اسم اتفاقی حداقل 7 کاراکتری ایجاد می نماید تا اجرای فایل باینری وارد شده قبلی (در مثال بالا) را در system startup قطعی نماید. برای مثال :
C:\WINDOWS\Tasks\cderkbm.job
سپس با تزریق یک کد مخرب به سرویس svchost مطمئن می گردد که تنها یک نسخه از بدافزار بر روی ماشین قربانی اجرا می گردد و به دنبال رمزگذاری فایلهایی با پسوندهای زیر :
Doc,pdf,xls,ppt,txt,py,wb2,jpg,odb,dbf,md,js,pl
و سایر پسوندها می رود.
هنگامیکه CTB Locker فایل های  داده مورد نظر خود را در سیستم قربانی رهگیری و تشخیص داد، با استفاده از الگوریتم elliptical curve cryptography که مختص بدافزارهای باج گیر است، آنها را رمزگذاری می کند. بعد از اینکه پویش کلیه درایوهای سیستم قربانی برای یافتن فایلهای اطلاعاتی توسط این بدافزار به پایان رسید، پیام باج خواهی خود را به همراه دستورالعمل نحوه پرداخت وجه را بر روی صفحه تصویر به نمایش می گذارد. این بدافزار همچنین فایل عکس پشت صفحه نمایش را با %MyDocuments%\AllFilesAreLocked <userid>.bmp  جایگزین می کند.
یکی دیگر از ویژگیهای غیر معمول این بدافزار در این است که دستورات و کنترل های سرویس دهنده آن مستقیماً توسط TOR که یک سیستم پنهان کار است رد و بدل می شود. این تکنیک باعث می شود که تعقیب قانونی هکرها و یا سرویس دهنده های آنها بسیار مشکل شود، البته غیر ممکن نخواهد بود.
تصویر زیر اخطار به نمایش در آمده توسط ویروس در ماشین قربانی را نشان می دهد که حکایت از پایان عملیات رمزگذاری  فایل ها دارد.


این بدافزار به منظور تاکید هر چه بیشتر در تهدید خود مدت زمان مشخصی را برای پرداخت باج مشخص می کند. در پایان مهلت مقرر و عدم پرداخت مبلغ خواسته شده، فایل ها رمزگذاری شده بطور کامل و برای همیشه حذف می گردند.


در مرحله بعدی  ویروس CTB Locker   دست به کار جالبی برای نشان دادن توانایی رمزگشایی خود می کند و به کاربر قربانی نشان  می دهد که چگونه پس از پرداخت باج، فایلهایش آزاد خواهد شد.

 
در این مرحله بدافزار به کاربر اجازه می دهد با انتخاب گزینه  Search تا ۵ فایل رمزگذاری شده را به دلخواه خود انتخاب نموده و آنها را رمزگشایی (Decrypt) نماید.


پس از رمزگشایی آزمایشی، از کاربر درخواست می شود تا مبلغ مشخصی را برای رمزگشایی سایر فایل ها پرداخت نماید.
محدود جغرافیایی توزیع بدافزار کجاست؟
محدوده جغرافیایی خاصی هدف این این بدافزار نبوده و بسته به میزان ضعف و زمینه نفوذ ، خود را گسترش می دهد. درجارت زیر میزان آلودکی در برخی از کشورهای مورد حمله نمایش داده شده است :

 
نحوه  حضور و ورود  بدافزار CTB  Locker  چگونه است؟

این بدافزار معمولاً از طریق فایل های الصاق شده به ایمیل کاربر وارد سیستم می شود.  فایل آلوده ضمیمه ممکن است (در نسخه های قبلی) با پسوند های .doc یا .rtf  یا درنسخه جدید zip  باشد که حاوی فایلی با پسوند .scr است.
پاکسازی بدافزار و بازیابی فایلهای رمزشده چگونه امکان پذیر است؟
با توجه به مکانیزم پیچیده این بدافزار در رمزگذاری فایلها، رمزگشایی بدون در اختیار داشتن کلید رمز  حمله کننده  امکان پذیر نمی باشد. اما این فضیه به معنی آن نیست که تهدیداتی از این دست می توانند فعالیتهای کاری را تحت تاثیر شدید قرار دهند. اسکن سیستم ها با استفاده از ضدویروس بروز و قدرتمند می تواند در تشخیص ویروس و ورود آسیب ها در آینده جلوگیری کند و شناسایی فایلهای رمزگذاری شده و جایگزینی آنها با آخرین نسخه پشتیبان مناسب می تواند به سادگی مانع چنین تهدیداتی باشد.
ما فهرستی از آدرسهای اینترنتی را جمع آوری کرده ایم که تهدید مورد نظر بعد از راه اندازی و استقرار خود به آنها مراجعه کرده و عملیات رمزگذاری خود را به اجرا می گذارد. مسدود کردن این لیست می تواند بسیار مفید باشد. البته این لیست در بر گیرنده تمامی آدرسهای اینترنتی مخرب ممکنه نیست

breteau-photographe.com (213.186.33.150)
voigt-its.de (188.93.8.7)
maisondessources.com (213.186.33.19)
jbmsystem.fr (213.186.33.3)
pleiade.asso.fr (213.186.33.19)
scolapedia.org  (213.186.33.19)

خلاصه عملکرد آلودگی CTB Locker

·         رمزگذاری بر اساس الگوریتم elliptic curves صورت می پذیرد.
·         فایل آلوده در پوشه %temp% با اسامی اتفاقی نظیر utrhekek.exe استقرار می یابد.
·         هر بار یک job فایل مخفی با اسامی اتفاقی ایجاد می شود تا به طور خودکار ویروس را به به هنگام Logon اجرا کند.
·         هنگامیکه این ویروس سیستم  را آلوده کند، صفحه ای را به نمایش می گذارد که در آن نشان میدهد برای پرداخت باج چقدر وقت مانده است.
·         تمامی فایلهای داده را رمزکذاری کرده و آنها را با پسوند .ctbl ذخیره می کند.
·         برای رایانه آلوده یک شماره شناسایی کاربر ایجاد می کند که در موارد مختلفی از نام گذاری فایلها از آن استفاده می کند.
·         یک فایل تصویری  به نام  AllFilesAreLocked<user_id>.bmp در پوشه  My Documents یا Documents ایجاد می کند که اخطار باج گیری را در پس زمینه صفحه تصویر به نمایش می گذارد.
·         یک فایل txt به نام  AllFilesAreLocked<user_id>.txtدر پوشه  My Document  یا Documents ایجاد می کند که شامل دستورالعمل پرداخت  باج است.
·         یک فایل html به نام  AllFAreLocked<random name >.html در پوشه My Documents یا Documentsiles ایجاد می کند که شامل دستورالعمل پرداخت  باج است.
·         یادداشت باج خواهی شامل یک کلید شخصی است که می بایست در سایت رمزگشایی TOR وارد شود. سپس آنها نحوه پرداخت باج را دیکته می کنند.
·         باج با واحد پولی بیت کوین (واحد پول مجازی) پرداخت می شود و آدرسها پرداخت به طور اتفاقی ساخته می شوند.
·         قربانی 72 ساعت و در برخی موارد دیگر 96 ساعت برای پرداخت باج فرصت دارد.
·         نرخ فعلی باج دو دهم بیت کوین معادل 120 دلار است.
·         این ویروس توسط ضدویروس ESET و Kaspersky  شناسایی می شود.
·         ارتباط با سرویس دهنده های C2 از طریق شبکه پنهان کار TOR انجام می شود.
·         در هر بار بوت دستگاه نام و نشانی جدید از ویروس در پوشه %temp% و job جدیدی برای اجرای آن ایجاد می شود.
 
چگونه از تهدیدات اینترنتی اجتناب کنیم؟

1.     هرگز به محتوای ایمیل های ناشناخته اعتماد نکنید و از باز کردن فایل های الصاقی و یا لینک آدرسهای مندرج در متن جداً خودداری نمائید.
2.     همیشه استفاده از نرم افزار ضدویروس (با قابلیتهای امنیتی چند منظوره)  و به روز را در دستور کار خود داشته باشید.
3.     سیستم عامل و سایر نرم افزارهای عمومی و کمکی خود را به روز نگاه دارید و نصب وصله های امنیتی آنها را جدی بگیرید تا هر چه سریعتر حفره های امنیتی کشف شده در آنها غیر قابل نفوذ گردند.
4.     از دریافت فایلهای مشکوک و پاسخ مثبت دادن به انواع تبلیغات اینترنتی و وب گردی در وب سایت های مخاطره آمیز خودداری کنید.
5.     تهیه نسخه پشتیبان مناسب از اطلاعات شخصی و کاربردی مهم خود را فراموش نکنید، چرا که تنها تکیه گاه مطمئن در مقابل انواع تهدیدات مختلف خواهد بود.
6.     در شبکه های سازمانی و یا سیستم شخصی خود از غربالگرهای محتوای ایمیل  (AntiSpam)  استفاده نمائید.
7.     دیواره آتش را بروز نگه داشته و از سیستم غربالگری وب در دیواره آتش به منظور بازدارندگی پیشگیرانه کمک بگیرید.
8.     از خدمات حرفه ای در مواجه با تهدیدات و ارزیابی مخاطرات و راهکارهای بازیابی بهره مند باشید.