با یک "بدافزار" جدید و شایع آشنا شوید

[sabrjoo]

با گذشت تنها دو هفته از آغاز سال ميلادي 2014 برخي از بدافزارهاي نوظهور شناسايي شده‌اند. معمولا با آغاز تعطيلات پايان سال، موج جديدي از بدافزارهاي خطرناک در فضاي مجازي به راه مي‌افتد. بدافزارنويسان از فرصت تعطيلات عمومي نهايت بهره‌برداري را مي‌کنند، علاوه بر اين که در طول اين تعطيلات، مراجعات عمومي به اينترنت بيشتر از روزهاي عادي نيز هست.

همان طور که پيش‌بيني شده بود، بدافزارهاي گروگان‌گير شايع‌ترين بدافزارهاي دو هفته آغازين سال 2014 بوده‌اند.

به نقل از ماهر، گروهي از توليدکنندگان بدافزار، برنامه گروگان‌گير جديدي را آماده کردند که فايل‌ها را روي رايانه‌هاي آلوده شده رمزگذاري مي‌کند و از قرباني مي‌خواهد براي دسترسي به اين فايل‌ها مبلغي را پرداخت نمايد.


اين بدافـزار جديـد PowerLocker نـام‌گـذاري شده و ايـده آن از تـروجان موفق گروگـان‌گيـر CryptoLocker که از ماه سپتامبر حدود 250000 رايانه را آلوده کرد، الهام گرفته شده است. اين بدافزار همانند بدافزار CryptoLocker از يک روش رمزگذاري قوي استفاده مي‌کند که بدون پرداخت پول نمي‌توان به فايل‌ها دسترسي يافت. همچنين از آن جا که بدافزارنويسان آن اعلام کردند که قصد دارند اين بدافزار گروگان‌گير را به مجرمان سايبري بفروشند، اين بدافزار بسيار پيچيده و به طور بالقوه بسيار خطرناک مي‌باشد.


با توجـه بـه يافته‌هاي يـک بدافزارنويـس که با شناسه آنلايـن "gyx" شناسايـي مي‌شـود، بـدافزار PowerLocker شامل يک فايل واحد است که در پوشه موقت ويندوز قرار مي‌گيرد. زماني که اين بدافزار براي اولين بار روي رايانه‌اي اجرا شود، تمامي فايل‌هاي کاربر را که روي درايوهاي داخلي و فايل‌هايي که در شبکه به اشتراک گذاشته است (به استثناي فايل‌هاي اجرايي و سيستمي) رمزگذاري مي‌کند. هر فايل با يک الگوريتم Blowfish و يک کليد واحد رمز مي‌شود. سپس اين کليدها با کليد RSA 2048 بيتي رمز مي‌شود. در واقع رايانه کاربر کليد عمومي را دارد اما کليد خصوصي متناظر با آن را که براي بازگشايي رمز نياز است، در اختيار ندارد.


با توجه به يافته‌هاي Trend Micro و ESET، اين بدافزار در گروه کرم‌ها دسته‌بندي مي‌شود و اين شرکت‌ها آن را Crilock.A ناميده‌اند (اين کرم خود را Cryptolocker 2.0 مي‌نامـد). اين کرم در قالب يک بـه‌روز رسـان بـراي Adobe Photoshop و Microsoft Office روي سايت‌هايي که بازديد زيادي دارند، ظاهر مي‌شود.


ساختار کنترل و فرمان اين کرم جديد است بنابراين شرکت Trend Micro معتقد است که Crilock.A کرمي است که صرفا از ساختار کلي Cryptolocker تقليد مي‌کند و نسخه اصلي اين بدافزار نيست.


هدف قرار دادن فايل‌هاي به اشتراک‌گذاري شده توسط اين بدافزار گروگان‌گير، انتخاب عجيبي است زيرا با وجـود آن که شانـس دانلـود اين بدافزار افزايش مي‌يابد اما فهرست بالقوه قربانيان احتمالي اين بدافزار بسيار کوچک‌تر از نسخه‌هاي قبلي اين بدافزار است.


بدافزار Crilock.A اين توانايي را دارد که درايوهاي قابل حمل را هم آلوده نمايد.


روش‌هاي مورد استفاده اين کرم بسيار قديمي است. اگر چه سرعت انتشار اين کرم پايين است اما طول عمر بالايي دارد.


از سوي ديگر، در حالي که اين کرم مي‌تواند روي درايوها براي سال‌ها پنهان باقي بماند اما به محض فعال شدن مي‌تواند توسط بسياري از برنامه‌هاي امنيتي کشف و مسدود شود.


شرکت ESET فهرسـت کامـل تفـاوت‌هـاي Cryptolocker و Crilock.A/Cryptolocker 2.0 را روي وب‌سايت خود قرار داده است.


امروزه بيشتر بدافزارها از طريق سوءاستفاده از آسيب‌پذيري‌هاي موجود در برنامه‌هاي محبوبي مانند جاوا، فلش و فناوري‌هاي ديگر توزيع مي‌شوند و در نتيجه براي اجتناب از آلـوده شدن به هر نوع بدافزاري، به‌روز نگه داشتن تمامي برنامه‌هاي کاربردي اهميت به سزايي دارد. همچنين تهيه نسخه پشتيبان از داده‌ها و فايل‌هاي موجود روي رايانه‌ها يک ضرورت است.


در صورت آلوده شدن بـه اين نوع از بـدافزارها که تعدادشـان هـم رو به افزايـش است، مي‌توان بدون پرداخت وجهـي فايـل‌هاي مـورد نظر را برگـرداند. بايد به اين موضوع توجـه داشـته باشيد که نسخـه‌هاي پشتيبان فايل‌ها نبايـد روي همـان رايانه و با انـواع يکسان ذخيره شده باشنـد. چـرا که اين بدافزارها نسخـه‌هاي پشتيبان را نيز تحت تاثير قرار داده و تخريب مي‌کند.


سعي کنيد فايل‌هاي به‌روز رساني برنامه‌هاي کاربردي خود را از سايت‌هاي سازنده برنامه‌هاي دانلود، دريافت نماييد.


در صورتي که اين امکان وجود نداشت، اين فايل‌ها را از سايت‌هاي معتمد و شناخته شده دريافت نموده و البته دقت کنيد که در صف دريافت اين فايل‌ها اولين نفر نباشيد.




منبع :http://www.yjc.ir/fa/news/4709657/%D...88%DB%8C%D8%AF