آشنایی با باج افزار locky

این باج افزار در اواسط ماه فوریه میلادی شروع به کار کرده و در یکی از حملات بزرگ خود توانسته بیمارستان هالیوود را آلوده کند و مبلغ 2.4 میلیون یورو باج بگیرد.

این باج افزار ابتدا فایل ها را بررسی کرده و پس از رمزکردن فایل ها، پسوند .locky را به آن ها اضافه می کند. کلید رمزگشایی فقط در اختیار تولیدکنندگان باج افزار قرار دارد و برای به‌دست آوردن آن باید مبلغی معادل 0.5 بیت کوین تا حدود 1 بیت کوین پرداخت شود.

معمول ترین روشی که باج افزار Locky برای ورود به سیستم قربانی از آن استفاده می کند، به ترتیب زیر است: باج افزار یک ایمیل که حاوی یک فایل ضمیمه می باشد، برای فرد قربانی ارسال می کند (Troj/DocDL-BCF). فرد قربانی پس از باز کردن فایل ضمیمه که یک فایل متنی است، با عباراتی نامفهوم روبرو می شود.

باج افزار در ابتدای این فایل به قربانی پیشنهاد می دهد که اگر با عباراتی نادرست روبرو شده است، تنظیمات مربوط به macro را فعال کند.

اگر کاربر تنظیمات مربوط به macro را فعال کند، عبارات موجود در سند تصحیح نمی شوند و با این کار کد موجود در سند اجرا می شود که یک فایل را درون سیستم ذخیره و اجرا می کند. فایل ذخیره شده (Troj/Ransom-CGX) به عنوان یک downloader عمل می کند و payload نهایی بدافزار را از سرورهای مورد نظر دریافت می کند. این payload می تواند هرچیزی باشد ولی در این مورد معمولاً باج افزار Locky است.

باج افزار Locky فایل های سیستم را با لیستی از پسوندها بررسی می کند. این لیست شامل پسوندهای مربوط به فایل های ویدئو، تصاویر، کدهای برنامه نویسی به زبان های مختلف و فایل های آفیس است. باج افزار Locky حتی فایل wallet.dat که مربوط به حساب کاربری بیت کوین است را در صورت وجود، بررسی می‌کند.

به عبارت دیگر، اگر در حساب بیت کوین کاربر مبلغی بیش از آن چه که باج افزار درخواست کرده است، وجود داشته باشد، کاربر مجبور است تا مجدداً بیت کوین جدید خریداری کرده و مبلغ مورد درخواست باج افزار را پرداخت کند.

بر اساس اطلاعات این گزارش که از سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای - ماهر - گرفته شده، برای جلوگیری از آلوده شدن به این باج افزار نیز انجام اقدامات زیر توصیه می شود:

• به طور متناوب از اطلاعات نسخه پشتیبان تهیه شود و این نسخه در یک مکان مجزا از سیستم ذخیره شود.

• تنظیمات مربوط به macro در فایل های ضمیمه ای که از ایمیل های ناشناس دریافت می گردند، نباید فعال گردد.

• در مورد فایل های ضمیمه ناخواسته باید بیشتر احتیاط کرد.

• هنگام ورود به سیستم نبایستی با سطح دسترسی مدیر و یا سطح دسترسی بیشتر از آنچه که مورد نیاز است، وارد شد.

• از نرم افزارهای Microsoft Office viewers برای دیدن فایل های مربوط به آفیس استفاده شود. این نرم افزارها به کاربر اجازه می دهد تا بدون بازکردن فایل های آفیس در برنامه های word و یا دیگر برنامه های آفیس، بتوان محتوای آن ها را مشاهده کرد. ضمن اینکه این نرم افزارها از ویژگی macro پشتیبانی نمی کنند.

• یکی دیگر از راه های ورود بدافزارها به سیستم، سوء استفاده آن ها از آسیب پذیری های موجود درون نرم افزارهاست. توصیه می شود به طور متناوب نرم افزارهای موجود بر روی سیستم به روز رسانی شوند و وصله های امنیتی ارائه شده برای آن ها در اسرع وقت اعمال شود.