با تشکر از گروه تحقیق, توسعه و آموزش شرکت مهندسی شبکه گستر
قبل از شروع این مقاله مفید لازم است بدانید
بازیابی فایل های رمز شده توسط CTB-Locker در مرکز تخصصی بازیابی اطلاعات امین پایتخت میسر شد.
تاریخ به روز رسانی ۱۳۹۴/۰۸/۰۱
متخصصین ما پس از ماه ها تلاش موفق به یافتن روشی جهت بازیابی اطلاعات رمز شده توسط BitCryptor و CoinVault شدند.
پیشگفتار
هر چند که سال ها از ظهور او لین باج افزار (Ransomware) می گذرد اما اوج موفقیت این نوع بدافزارها به باج افزار Cryptolocker در سال ۱۳۹۲ باز میگردد. گردانندگان Cryptolocker موفق شاادند در مدتی کوتاه، از طریق بدافزار GameOver Zeus دهها هزار سیستم را آ لوده و میلیونها دلار از کاربران اخاذی کنند. شبکه مخرب GameOver Zeus درخرداد سال گذشته توسط اداره تحقیقات فدرال (FBI) و با همراهی شرکتهای امنیتی و نهادهای قانونی چند کشور متلاشی و انتشار Cryptolocker متوقف شد.
اما اندکی بعد CTB-Locker به صحنه آمد. CTB مخفف Curve-Tor-Bitcoin Locker ا ست و در حقیقت، نشان دهنده سه مشخصه اصلی این بدافزار میباشد؛ استفاده از ا گوریتم رمزگذاری به نام Elliptic Curve Cryptography، استفاده از سامانه نرم افزاری Tor برای نا شناس ماندن و ا ستفاده از واحد پول سایبری Bitcoin برای دریافت باج از قربانیان خود. برنامه نویسان CTB-Locker توابع فایل Tor.exe را بصورت حرفه ای در بدنه بدافزار جاسازی کرده اند.
نسخه های او لبه این بدافزار عمدتاً از طریق سوء ا ستفاده از حفره های امنیتی منتشر می شد. اما گونه آخر این بدافزار، در قالب پیوست هرزنامه ها، منتشر شده و قربانیانی در نقاط مختلف دنیا و از جمله کشور ایران میگیرد. یک روز با عنوان “نسخه جدید مرورگر Chrome” و یک روز در قالب “صورتحساب و فاکتور فروش” سعی میکند تا کاربرانی را فریب داده و آنها را به کلیک کردن بر روی پیوند و فایل پیوست مخرب، تشویق و ترغیب کند.
پس از آن فایلهای ذخیره شده بر روی کامپیوتر قربانی رمزگذاری شده و سپس از او برای بازگشایی آنها، درخوا ست باج خواهد شد. باج را که یک گونه از CTB-Locker با نرخ دو Bitcoin و گونه دیگر با نرخ سه Bitcoin تعیین میکنند، باید در مهلت تعیین شده پرداخت کنید تا این بدافزار خوش قول هم فوراً از راه دور اقدام به رمزگشایی فایلهای قفل شده، کند.
با توجه به نوع خاص رمزگذاری بدافزار CTB-Locker و طول کلید رمزگذاری، امکان رمزگشایی و بازگرداندن فایلهای رمزشده با سعی و خطا توسط روش جستجوی فراگیر عملاً غیر ممکن است.
تضمینی هم نیست که بدافزار همیشه و فقط از وسیله ایمیل برای انتشار خود ا ستفاده کند. حمله از طریق مرورگرها، محصولات پرمصرف Adobe، ابزارهایی مانند Java و Flash که اینترنت بدون آنها معنای دیگری خواهد داشت، نرم افزارهای کاربردی اداری و … پایان و انتهایی ندارد. وقتی هم که قربانی و میزبان مورد تعرض قرار گرفت، داده های سرقت شده میتواند به روشهای مختلف خسارات مادی و حیثیتی برای سازمان به همراه داشته باشد.
با وجود ضعفهای امنیتی فراوان در سیستم های عامل و دیگر نرم افزارهای کاربردی، حضور کاربران کم تجربه و وابستگی بسیاری از سیستمهای امنیتی امروزی به انتخاب کاربر، نمی توان انتظار دا شت که افرادی که امروز دنیای سایبری را به جولانگاهی برای خرابکاری های خود مبدل ساخته اند، به این زودی ها محو و نابود شوند.
باید روشهای نوینی برای دیده بانی کاربران و حساب های کاربری در شبکه بکار گرفته شوند تا علایٔم تعرض، نفوذ و استفاده های نا صحیح شنا سایی شوند و بتوان سازمان و شبکه خود را در برابر کاربرانی که قربانی انواع حقه ها و فریبهای سایبری می شوند، محافظت کرد. بسیاری از ابزارهای دیده بانی، ردیابی و شنا سایی در برابر بدافزارهایی نظیر CTB-Locker ناکام خواهند بود مگر آنکه از لحاظ برنامه نویسی و مشخصه های رفتاری مشابه گونه های قبلی و شناخته شده با شند. البته شاید شانس بیشتری در مرحله شنا سایی هرزنامه (Spam) برای مهار این باج افزار دا شته با شیم و لی حملات همیشه از طریق ایمیل نخواهد بود.
باج افزارهایی نظیر CTB-Locker باید حداقل دو درس به ما، کارشناسان امنیتی و متخصصان بازیابی اطلاعات داده باشند. درس اول ، آموزش کاربران حتی در دوره های دبیرستان، دانشگاه و استخدام. درس دوم، کاربران دست به کارهای خطرساز خواهند زد و سیستمها مورد تعرض قرار خواهند گرفت. آموزش کاربران شانس موفقیت بی شتری را در برابر هرزنامه ها و روشهای فریب بدافزارها فراهم خواهد کرد. و لی در نهایت، همیشه کاربری خواهد بود که روی آن پیوند فریبنده و فایل وسوسه کننده کلیک کند. پس بعد از آموزش نیز اقداماتی نظیر بایگانی صحیح و دستورالعملهای بازیابی/بازسازی میتواند کمک موثری در مهار صدمات بدافزارهایی نظیر CTB-Locker باشد. عملکرد بدافزار پس از آلوده شدن کامپیوتر به باج افزار CTB-Locker، پیامهایی برای کاربر به نمایش درمیآید. در این بخش، از اولین پیام باج افزار که کاربر را از اتفاقی که افتاده مطلع میکند تا پیامهای بعدی که کاربر را برای پرداخت باج و رمزگشایی دادههای کامپیوتر، راهنمایی می نمایند، نشان داده میشود.
با اولین پیام، کاربر از آلوده شدن به بدافزار CTB-Locker مطلع می شود. در این پیام تو ضیح داده شده که داده های کاربر رمزگذاری شده و برای بازگرداندن آن به حالت اولیه، باید ظرف ۹۶ ساعت، باج درخواستی پرداخت شود. همچنین به کاربر هشدار داده میشود که اقدام به پاکسازی بدافزار نکند، زیرا با اینکار برخی فایلهای مرتبط با بدافزار حذف میشود و امکان
رمزگشایی داده ها دیگر وجود نخواهد داشت.
در پیام اول، گزینه View وجود دارد که با زدن دکمه آن، فهر ستی از فایلهای رمزگذاری شده کاربر برای اثبات، به نمایش درمی آید.
درپیام اول ،دکمهNext وجودداردکه با زدن آن،پیام جدیدی ظاهرمیشود(شکل۱).دراین پیام، برای نشان دادن توانایی بدافزار در رمزگشایی داده ها، فرصت رمزگشایی چند فایل که بطور تصادفی انتخاب میشوند، داده شده است.
در پیام بعدی، جزیٔیات باج گیری ارایٔه می شود. در این پیام از کاربر خوا سته می شود که مبلغ سه Bitcoin به یک شماره حساب واریز کند تا عملیات رمزگشایی داده ها بطور خودکار آغاز گردد ( شکل ۵). شماره حساب ارایٔه شده منحصربه فرد و ویژه آن کامپیوتر خاص است. در حقیقت، از این شماره حساب برای تشخیص اینکه باج واریز شده بابت کدام کامپیوتر بوده است، استفاده میشود.
نویسنده باج افزار CTB-Locker تمام جوانب کار را اندیشیده و برای هر مشکلی راه حلی دارد. اگر کاربر فاقد حساب و پول مجازی Bitcoin باشد، گزینه Exchange راهنمایی های لازم را به کاربر در این زمینه ارایٔه میکند. از جمله پیوندها و وبگاه های مناسب برای خرید Bitcoin به کاربر پیشنهاد میشوند.
در صورتیکه کاربر اقدام به خرید Bitcoin و واریز به حساب تعیین شده نماید، در مدت کمتر از نیم ساعت، پیامی مبنی بر آغاز رمزگشایی دادهها به نمایش درمی آید. در نمونه هایی که توسط کارشناسان شبکه گستر جمع آوری شده اند، داده ها بطور کامل و سالم رمزگشایی شده و به حالت اولیه خود بازمی گردند.
پس از تکمیل رمزگشایی داده های دیسک سخت کامپیوتر، بدافزار پیش از محو و نابود کردن خود، از کاربر میخواهد تا اگر داده های او بر روی حافظه های USB Flash هم رمزگذاری شده اند، آنها را یک به یک به کامپیوتر متصل کند تا CTB-Locker اقدام به رمزگشایی آنها نیز نماید.
آخرین گونه شناسایی شده در ایران، در قالب SCR و بصورت فایل ZIP یا CAB از طریق هرزنامه ها منتشر میشوند. اسامی نمونه هایی از این پیوستهای آلوده بشرح زیر است:
انتشار
malformed.zip plenitude.zip inquires.zip simoniac.zip
faltboat.zip incurably.zip payloads.zip dessiatin.zip
همچنین، عباراتی که در ادامه آمده اند نمونه هایی از عناوین این هرزنامه ها میباشند:
[Fax server] +07909 546940
copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368
Fax ZC9257943991110
New fax message from +07862-678057
گونه های جدید این بدافزار با ۷۷۸۱ DAT، توسط ضدویروس McAfee با نامهای Downloader- ،BackDoor-FCKQ Downloader-CTB ،Injector-FMZ ،FAMV و Ransom-CTB شناسایی میشوند. با این حال ، استفاده از فایل به روزرسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های بدافزار CTB-Locker میباشد نیز توصیه میگردد.
اقدامات پیشگیرانه
تهیه پشتیبان از داده های با اهمیت بصورت دوره ای؛ پیروی از قاعده ۴-۱-۹ برای داده های حیاتی توصیه میشود. برطبق این قاعده،ازهرفایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان)، فایلها باید بر روی دو رسانه دخیره سازی مختلف حفظ شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود؛ بهره گیری از نرم افزارها و سخت افزارهای ضد هرزنامه (Anti-Spam)؛ محدود کردن سطح دستر سی کاربران بمنظور جلوگیری از آلوده شدن دستگاه حتی در صورت اجرا شدن فایل مخرب توسط کاربر.
پیوندهای مفید
باج افزار:
هشدار جدی مرکز ماهر در خصوص بدافزار CTB locker:
http://www.certcc.ir/index.php?module=cdk&func=loadmodule&system=cdk&sismodule=user/ content_view.php&cnt_id=220380&ctp_id=19&id=3797&sisOp=view
:McAfee Labs Threat Advisory – CTB-Locker https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/250
۰۰/PD25696/en_US/McAfee_Labs_Threat_Advisory-CTB-Locker.pdf
http://fa.wikipedia.org/wiki/%D8%A8%D8%A7%D8%AC%E2%80%8C%D8%A7%D9%81%D8%B2% D8%A7%D8%B1
منبع: گروه تحقیق, توسعه و آموزش شرکت مهندسی شبکه گستر
اردیبهشت ۱۳۹۴