stat counter
تاریخ : چهارشنبه, ۵ دی , ۱۴۰۳ Wednesday, 25 December , 2024
  • کد خبر : 31825
  • 09 فروردین 1395 - 11:50
5

باج‌افزار Locky چطور قربانی میگیرد؟

باج‌افزار Locky چطور قربانی میگیرد؟

باج افزار Locky برای اولین بار در دیماه سال گذشته در سطح اینترنت گسترش یافته است ولی گزارش‌های جدید حاکی از آن است که این باج افزار به سرعت در حال گسترش و آلوده کردن کاربران است.

قلم | qalamna.ir :

۱۴۳۴۱۷۴۶۵۶۵۴۷_afpاین باج افزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ ۲٫۴ میلیون یورو باج بگیرد.

این باج افزار ابتدا فایل ها را بررسی کرده و پس از رمزکردن فایل ها، پسوند .locky را به آن ها اضافه می کند. کلید رمزگشایی فقط در اختیار تولیدکنندگان باج افزار قرار دارد و برای به‌دست آوردن آن باید مبلغی معادل ۰٫۵ بیت کوین تا حدود ۱ بیت کوین پرداخت شود.

معمول ترین روشی که باج افزار Locky برای ورود به سیستم قربانی از آن استفاده می کند، به ترتیب زیر است: باج افزار یک ایمیل که حاوی یک فایل ضمیمه می باشد، برای فرد قربانی ارسال می کند (Troj/DocDL-BCF). فرد قربانی پس از باز کردن فایل ضمیمه که یک فایل متنی است، با عباراتی نامفهوم روبرو می شود.

باج افزار در ابتدای این فایل به قربانی پیشنهاد می دهد که اگر با عباراتی نادرست روبرو شده است، تنظیمات مربوط به macro را فعال کند.

اگر کاربر تنظیمات مربوط به macro را فعال کند، عبارات موجود در سند تصحیح نمی شوند و با این کار کد موجود در سند اجرا می شود که یک فایل را درون سیستم ذخیره و اجرا می کند. فایل ذخیره شده (Troj/Ransom-CGX) به عنوان یک downloader عمل می کند و payload نهایی بدافزار را از سرورهای مورد نظر دریافت می کند. این payload می تواند هرچیزی باشد ولی در این مورد معمولاً باج افزار Locky است.

باج افزار Locky فایل های سیستم را با لیستی از پسوندها بررسی می کند. این لیست شامل پسوندهای مربوط به فایل های ویدئو، تصاویر، کدهای برنامه نویسی به زبان های مختلف و فایل های آفیس است. باج افزار Locky حتی فایل wallet.dat که مربوط به حساب کاربری بیت کوین است را در صورت وجود، بررسی می‌کند.

به عبارت دیگر، اگر در حساب بیت کوین کاربر مبلغی بیش از آن چه که باج افزار درخواست کرده است، وجود داشته باشد، کاربر مجبور است تا مجدداً بیت کوین جدید خریداری کرده و مبلغ مورد درخواست باج افزار را پرداخت کند.

قلم، بر اساس اطلاعات این گزارش که از سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای – ماهر – گرفته شده، برای جلوگیری از آلوده شدن به این باج افزار نیز انجام اقدامات زیر توصیه می شود:

• به طور متناوب از اطلاعات نسخه پشتیبان تهیه شود و این نسخه در یک مکان مجزا از سیستم ذخیره شود.

• تنظیمات مربوط به macro در فایل های ضمیمه ای که از ایمیل های ناشناس دریافت می گردند، نباید فعال گردد.

• در مورد فایل های ضمیمه ناخواسته باید بیشتر احتیاط کرد.

• هنگام ورود به سیستم نبایستی با سطح دسترسی مدیر و یا سطح دسترسی بیشتر از آنچه که مورد نیاز است، وارد شد.

• از نرم افزارهای Microsoft Office viewers برای دیدن فایل های مربوط به آفیس استفاده شود. این نرم افزارها به کاربر اجازه می دهد تا بدون بازکردن فایل های آفیس در برنامه های word و یا دیگر برنامه های آفیس، بتوان محتوای آن ها را مشاهده کرد. ضمن اینکه این نرم افزارها از ویژگی macro پشتیبانی نمی کنند.

• یکی دیگر از راه های ورود بدافزارها به سیستم، سوء استفاده آن ها از آسیب پذیری های موجود درون نرم افزارهاست. توصیه می شود به طور متناوب نرم افزارهای موجود بر روی سیستم به روز رسانی شوند و وصله های امنیتی ارائه شده برای آن ها در اسرع وقت اعمال شود.

هشتگ: ,

ثبت دیدگاه

مجموع دیدگاهها : 2در انتظار بررسی : 0انتشار یافته : ۲
  1. ا سلام و خسته نباشید
    خواستم ببینم برای رمزگشایی این فایل ها (locky) راه حلی یا برنامه کاربردی و خوبی هست.
    خیلی از برنامه هارو تست کردم و خیلی روش های manual رو به کار بردم.ولی همچنان تمام اطلاعات به حالت رمز شده یعنی با همون پسوند locky باقی موندن.
    ممنون میشم اگر راهنمایی کنید.خیلی ضروریه.

  2. با سلام
    فعلا هیچ راه حلی از سوی شرکتهای ناشر ضد ویروس و بد افزار انتشار داده نشده است.
    برنامه های شرکت پاندا و کاسپراسکی هم ناموفق هستند و خیلی بعید به نظر می رسد نرم افزاری مناسب انتشار داده شود مگر اینکه خود برنامه نویس تروجان دلش به حال ملت بسوزه و دی کریپت مورد نظر رو انتشار بده.
    پس فایلهاتونو پاک نکنید شاید در آینده فرجی حاصل بشه.

قوانین ارسال دیدگاه
  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.