دسته‌بندی نشده

بدافزار CTB-Locker: هشدار جدی امنیت سایبری و راه‌های مقابله با باج‌افزار

تیم پیشگامیت
تیم پیشگامیت
نویسنده
۱۳۹۶/۰۱/۱۷
8 دقیقه مطالعه
0 نظر
بدافزار CTB-Locker: هشدار جدی امنیت سایبری و راه‌های مقابله با باج‌افزار

مقدمه: تهدید رو به رشد باج‌افزارها در دنیای دیجیتال

در عصر دیجیتال کنونی، تهدیدات سایبری به یکی از بزرگترین چالش‌های امنیتی برای کاربران فردی و سازمان‌ها تبدیل شده است.Among این تهدیدات، باج‌افزارها به عنوان خطرناک‌ترین و مخرب‌ترین بدافزارها شناخته می‌شوند. مرکز ماهر به عنوان یکی از مراجع اصلی پاسخگویی به رخدادهای امن سایبری در کشور، هشدار جدی درباره گسترش بدافزار CTB-Locker صادر کرده است. این بدافزار که از خانواده باج‌افزارهای پیشرفته محسوب می‌شود، توانسته است خسارات قابل توجهی به کاربران در سراسر جهان وارد کند.

باج‌افزارها یا Ransomware نوعی بدافزار هستند که با رمزگذاری فایل‌های قربانی، دسترسی به اطلاعات را مسدود کرده و در ازای بازگرداندن دسترسی، تقاضای پرداخت پول می‌کنند. این روش حملات سایبری در سال‌های اخیر به شدت تکامل یافته و مهاجمان از تکنیک‌های پیچیده‌تری برای نفوذ به سیستم‌ها استفاده می‌کنند.

بدافزار CTB-Locker چیست؟

CTB-Locker که مخفف Curve-Tor-Bitcoin Locker است، یکی از پیشرفته‌ترین انواع باج‌افزارهاست که برای اولین بار در سال ۲۰۱۴ شناسایی شد. این بدافزار همچنین با نام Critroni نیز شناخته می‌شود و از الگوریتم رمزگذاری قدرتمند ECDH استفاده می‌کند که شکستن آن تقریباً غیرممکن است. نام CTB از سه ویژگی اصلی این بدافزار گرفته شده: استفاده از رمزنگاری منحنی بیضوی یا Curve، شبکه ناشناس Tor برای ارتباط با سرورهای فرمان و کنترل، و دریافت باج از طریق بیت‌کوین یا Bitcoin.

پیرو گزارشات واصله به مرکز ماهر و بررسی موارد متعدد، نمونه‌های مختلفی از این بدافزار در کشور رواج پیدا کرده است. این بدافزار از طریق پیوست‌های ایمیل انتشار پیدا کرده و با رمز کردن فایل‌های کاربر، برای بازگرداندن آن‌ها درخواست پول می‌کند. روش عملکرد این باج‌افزار به گونه‌ای است که پس از نفوذ به سیستم، به سرعت فایل‌های مهم کاربر را شناسایی و رمزگذاری می‌کند.

روش‌های انتشار و نفوذ CTB-Locker

شناخت روش‌های انتشار باج‌افزارها اولین گام در پیشگیری از آلودگی سیستم‌هاست. CTB-Locker عمدتاً از روش‌های مهندسی اجتماعی برای نفوذ به سیستم‌ها استفاده می‌کند. در ادامه به مهم‌ترین روش‌های انتشار این بدافزار اشاره می‌کنیم:

  • ایمیل‌های فیشینگ با فایل‌های ضمیمه آلوده
  • فایل‌های اجرایی با پسوند SCR که خود را به عنوان اسکرین‌سیور جا می‌زنند
  • فایل‌های فشرده ZIP حاوی بدافزار
  • اسناد آفیس آلوده با ماکروهای مخرب
  • فایل‌های PDF حاوی کدهای مخرب
  • وب‌سایت‌های آلوده و تبلیغات مخرب
  • دانلود نرم‌افزارهای کرک‌شده از منابع نامعتبر

مهاجمان معمولاً ایمیل‌هایی با عناوین جذاب و رسمی ارسال می‌کنند. این ایمیل‌ها ممکن است به عنوان فاکتور، اخطار بانکی، اظهارنامه مالیاتی یا هر موضوع دیگری که کاربر را ترغیب به باز کردن فایل ضمیمه کند، طراحی شوند. با کلیک کاربر روی فایل ضمیمه، بدافزار به صورت خودکار روی سیستم نصب و فعال می‌شود.

فرآیند رمزگذاری فایل‌ها توسط CTB-Locker

نتیجه کار این بدافزار مانند دیگر بدافزارهای باج‌گیر مانند CryptoLocker و TorrentLocker، رمز کردن فایل‌هایی با پسوندهای مختلف است. این بدافزار از رمزنگاری نامتقارن استفاده می‌کند که به این معنی است که کلید رمزگذاری و کلید رمزگشایی با هم متفاوت هستند. کلید خصوصی رمزگشایی فقط در دسترس مهاجمان قرار دارد و بدون آن، بازیابی فایل‌ها تقریباً غیرممکن است.

پسوندهای فایلی مورد هدف CTB-Locker

این باج‌افزار طیف گسترده‌ای از فایل‌ها را هدف قرار می‌دهد. پسوندهای اصلی شامل موارد زیر هستند:

  • فایل‌های تصویری: JPG، JPEG، PNG، GIF، BMP، PSD
  • فایل‌های ویدیویی: MP4، AVI، MKV، MOV، WMV
  • فایل‌های صوتی: MP3، WAV، FLAC، AAC
  • اسناد آفیس: DOC، DOCX، XLS، XLSX، PPT، PPTX
  • فایل‌های پایگاه داده: DB، MDB، SQL
  • گواهی‌های دیجیتال: CER، CRT، PEM
  • فایل‌های فشرده: ZIP، RAR، 7Z
  • فایل‌های متنی: TXT، PDF، RTF

پس از رمزگذاری، پسوند فایل‌ها تغییر می‌کند و معمولاً یک پسوند تصادفی به آن‌ها اضافه می‌شود. این تغییر پسند به کاربر نشان می‌دهد که فایل‌های او قفل شده‌اند.

پیام هشدار و درخواست باج

بدافزار پس از پایان کار خود پیامی را روی صفحه با مضمون خاصی به زبان‌های مختلف مطابق با منطقه کاربر نشان می‌دهد. این پیام معمولاً شامل اطلاعاتی درباره رمزگذاری فایل‌ها، مبلغ باج، مهلت پرداخت و راهنمایی برای خرید بیت‌کوین است. مهاجمان برای ایجاد فشار روانی، مهلت محدودی برای پرداخت تعیین می‌کنند.

حتی برای اطمینان دادن به کاربر، این بدافزار به قربانی اجازه می‌دهد تا ۵ فایل دلخواه خود را به صورت رایگان رمزگشایی کند. این ویژگی برای اثبات توانایی مهاجمان در بازیابی فایل‌ها و ترغیب قربانی به پرداخت باج طراحی شده است. سپس صفحه‌ای جهت پرداخت در عرض ۹۵ ساعت مشاهده خواهد شد. پس از گذشت این زمان، مبلغ باج معمولاً افزایش می‌یابد یا فایل‌ها برای همیشه غیرقابل بازیابی می‌شوند.

چرا بازیابی فایل‌ها بدون کلید رمزگشایی غیرممکن است؟

از آنجایی که از لحاظ فنی راه حلی برای بازگرداندن این فایل‌های رمز شده وجود ندارد، درک مکانیزم رمزگذاری اهمیت زیادی دارد. CTB-Locker از الگوریتم رمزنگاری منحنی بیضوی ECDH با کلید ۲۵۶ بیتی استفاده می‌کند. این نوع رمزنگاری یکی از امن‌ترین روش‌های رمزگذاری است که حتی با قدرت محاسباتی سیستم‌های پیشرفته نیز قابل شکستن نیست.

در رمزنگاری نامتقارن، دو کلید تولید می‌شود: کلید عمومی که برای رمزگذاری استفاده می‌شود و کلید خصوصی که برای رمزگشایی ضروری است. کلید خصوصی پس از رمزگذاری فایل‌ها، به سرورهای تحت کنترل مهاجمان ارسال می‌شود و هیچ نسخه‌ای از آن روی سیستم قربانی باقی نمی‌ماند. این همان دلیلی است که حتی کارشناسان امنیت سایبری نیز نمی‌توانند فایل‌ها را بازیابی کنند.

راهکارهای پیشگیری از آلودگی به CTB-Locker

پیشگیری همیشه بهتر از درمان است، به خصوص در مورد باج‌افزارها که پس از آلودگی، راه حل قابل اعتمادی برای بازیابی فایل‌ها وجود ندارد. کاربران باید موارد زیر را به دقت رعایت کنند:

۱. گرفتن فایل پشتیبان از اطلاعات مهم

مهم‌ترین راهکار مقابله با باج‌افزارها، داشتن نسخه پشتیبان از اطلاعات مهم است. این پشتیبان‌گیری باید به صورت منظم و طبق برنامه زمان‌بندی مشخص انجام شود. نکته کلیدی این است که نسخه پشتیبان باید روی یک رسانه جداگانه ذخیره شود که به صورت دائم به سیستم متصل نیست. در غیر این صورت، باج‌افزار می‌تواند فایل‌های پشتیبان را نیز رمزگذاری کند.

  • استفاده از هارد اکسترنال برای پشتیبان‌گیری
  • استفاده از سرویس‌های ابری معتبر
  • پیاده‌سازی استراتژی ۳-۲-۱ پشتیبان‌گیری
  • تست منظم قابلیت بازیابی فایل‌های پشتیبان

۲. بکارگیری راه‌حل‌های امنیتی برای ایمیل‌ها

در شبکه سازمان‌ها، فعال‌سازی فیلتر کردن پسوندهای فایل‌های ضمیمه مانند SCR جهت بلوکه کردن فایل‌های آلوده ضروری است. سرورهای ایمیل باید به گونه‌ای پیکربندی شوند که فایل‌های با پسوندهای خطرناک را به صورت خودکار مسدود یا قرنطینه کنند. همچنین اسکن آنتی‌ویروس روی ایمیل‌های ورودی باید فعال باشد.

۳. خودداری از باز کردن ضمایم ایمیل‌های مشکوک

خودداری از بازکردن ضمایم ایمیل‌هایی با ارسال‌کننده‌های ناشناس اهمیت زیادی دارد. فایل‌هایی با پسوند ZIP، اسناد آفیس، PDF و فایل‌های اجرایی باید با احتیاط زیاد باز شوند. حتی اگر ایمیل از یک آدرس آشنا ارسال شده باشد، باید محتوا بررسی شود زیرا آدرس فرستنده ممکن است جعل شده باشد.

۴. پاک کردن یا اسپم کردن ایمیل‌های مشکوک

ایمیل‌های مشکوک باید بلافاصله پاک یا به پوشه اسپم منتقل شوند. همچنین هشدار به دیگران در مورد این ایمیل‌ها می‌تواند از گسترش آلودگی جلوگیری کند. در سازمان‌ها، کارمندان باید به تیم امنیت سایبری گزارش دهند تا اقدامات لازم برای محافظت از سایر کاربران انجام شود.

۵. استفاده از ابزارهای امنیتی مناسب

استفاده از آنتی‌ویروس به‌روزرسانه شده و فایروال فعال روی سیستم و شبکه ضروری است. نرم‌افزارهای امنیتی باید قابلیت شناسایی رفتارهای مشکوک را داشته باشند، زیرا باج‌افزارهای جدید ممکن است توسط آنتی‌ویروس‌های سنتی شناسایی نشوند. همچنین سیستم‌عامل و تمام نرم‌افزارها باید به آخرین نسخه به‌روزرسانه شوند تا از آسیب‌پذیری‌های امنیتی استفاده نشود.

اقدامات لازم پس از آلودگی به CTB-Locker

اگر سیستم شما به این باج‌افزار آلوده شد، اقدامات زیر را انجام دهید:

  • فوراً سیستم را از شبکه جدا کنید تا از گسترش آلودگی جلوگیری شود
  • سیستم را خاموش نکنید زیرا ممکن است شواهد مهم در حافظه وجود داشته باشد
  • فایل‌های رمز شده را پاک نکنید، ممکن است در آینده راه‌حلی پیدا شود
  • به مرکز ماهر یا مراجع ذیصلاح گزارش دهید
  • از پرداخت باج خودداری کنید، زیرا تضمینی برای بازیابی فایل‌ها وجود ندارد
  • سیستم را با یک آنتی‌ویروس معتبر اسکن کنید
  • پس از پاکسازی، سیستم‌عامل را دوباره نصب کنید

توصیه‌های امنیتی برای سازمان‌ها

سازمان‌ها به دلیل داشتن اطلاعات حساس و شبکه‌های گسترده، هدف اصلی مهاجمان هستند. توصیه‌های زیر برای افزایش امنیت سازمانی ضروری است:

  • آموزش مستمر کارکنان در مورد تهدیدات سایبری
  • پیاده‌سازی سیاست‌های امنیتی سخت‌گیرانه
  • استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ
  • جداسازی شبکه‌های داخلی از سیستم‌های مدیریت
  • ایجاد پشتیبان آفلاین منظم از اطلاعات حیاتی
  • محدود کردن دسترسی کاربران به حداقل سطح لازم
  • نظارت مستمر بر ترافیک شبکه
  • تهیه طرح پاسخ به رخدادهای امنیتی

اهمیت آگاهی‌رسانی و آموزش

بسیاری از حملات باج‌افزاری با بهره‌گیری از ضعف آگاهی کاربران موفق می‌شوند. آموزش کاربران در مورد روش‌های شناسایی ایمیل‌های فیشینگ، اهمیت به‌روزرسانی سیستم و نحوه برخورد با فایل‌های مشکوک، می‌تواند به طور قابل توجهی خطر آلودگی را کاهش دهد. سازمان‌ها باید دوره‌های آموزشی منظم برگزار کنند و کاربران خانگی نیز باید خود را با تهدیدات سایبری آشنا کنند.

نتیجه‌گیری

بدافزار CTB-Locker یکی از خطرناک‌ترین تهدیدات سایبری است که می‌تواند خسارات جبران‌ناپذیری به کاربران و سازمان‌ها وارد کند. از آنجایی که راه فنی قابل اعتمادی برای بازیابی فایل‌های رمز شده وجود ندارد، پیشگیری بهترین راهکار است. رعایت اصول امنیتی، داشتن نسخه پشتیبان منظم، و آگاهی از روش‌های نفوذ می‌تواند از قربانی شدن شما جلوگیری کند. مرکز ماهر با صدور این هشدار، اهمیت توجه به امنیت سایبری را یادآوری می‌کند و از تمامی کاربران می‌خواهد که اقدامات پیشگیرانه لازم را انجام دهند.

نظرات

0