کاربران کامپیوتر با موج جدیدی از بدافزار filecoder ransomware مواجه شده اند که با قفل کردن کامپیوتر اجازه دسترسی کاربر به فایل هایش را نمی دهد. این بدافزار دارای یک تایمر است و قبل از اینکه فایل ها برای همیشه قفل شوند درخواست مبلغی معادل 300 دلار از قربانی می کند. تیم آژانس کامپیوتر آمریکا در مورد افزایش شمار کامپیوترهای آلوده شده به Cryptolocker هشدار داده است. این بدافزار با نام Win32/Filecoder توسط ESET شناسایی شده است.
CryptoLocker نسخه جدیدی از Ransomwar است که برای حذف این سطح محدودیت دسترسی کاربران به فایل های خود، از قربانیان درخواست واریز مبلغی را به حساب مشخصی می کند. طبق اظهارات آژانس، در این مدت آلودگی به این بدافزار از طریق ایمیل های فیشینگ حاوی پیوست های آلوده و مخرب بوده است.
این تروجان در سال 2013 شناسایی شده است و بیشترین میزان آلودگی به این بدافزار در تابستان این سال بوده است. آژانس کامپیوتر آمریکا میگوید اکثریت کاربران توسط ایمیل های مشابهی از شرکت های UPS و FedEx آلوده شده اند.
Robert Lipovsky محقق بدافزارهای ESET می گوید: ما در تابستان گذشته افزایش قابل توجهی از فعالیت ویروس Filecoder را ثبت کرده ایم. گزارش Lipovsky نشان می دهد چه کشورهایی هدف این بدافزار قرار گرفته اند. در مقایسه با دیگر روش های آلودگی، این بدافزار از طریق دانلود پیوست های آلوده ایمیل انتشار یافته است. در این مدت کشورهای روسیه، اسپانیا و ایتالیا دارای بالاترین آمار آلودگی در سایت هایشان هستند.
اخطاریه های آژانس کامپیوتر آمریکا فعال بودن این تهدید را نشان می دهد. CryptoLocker در غالب ایمیل های تقلبی در حال ارسال است. این ایمیل های به گونه ای طراحی شده اند که گیرندگان ایمیل آن را به عنوان ایمیل های ارسال شده از جانب شرکت های معتبر تجاری از قبیل UPS و FedEx قلمداد می کنند. براساس گزارشات موجود و به گفته بعضی از قربانی ها این بدافزار پس از آلوده شدن به یکسری بدافزارهای دیگر و جرایم رایانه ای به سیستم شان منتقل شده است. برای رمز گشایی این فایل ها به یک رمز احتیاج دارید. تروجان به کاربرها اخطار می دهد که یک کپی از این رمز در یک سرور مخفی نگهداری می شود. و این سرور بعد از یک زمان مشخص رمز را از بین خواهد برد و بعد از آن هیچ کس قادر به بازیابی اطلاعات نخواهد بود.
در یکم نوامبر گزارشی منتشر شد مبنی بر اینکه نسخه ای از تروجان اجازه بازیابی فایل ها را پس از پرداخت 300 دلار به شما می دهد. با وجود اینکه تعدادی از کاربران مبلغ را پرداخت کرده اند اما با این حال نتوانسته اند به اطلاعاتشان دست پیدا کنند. آژانس همچنین اخطار می دهد که کاربران ویندوزهای 7 ،XP و VISTA بیشترین قربانیان این بدافزار هستند.
فایل های قربانی بوسیله روش رمزنگاری نامتقارن کد می شوند. رمزگذاری نامتقارن برای رمزنگاری و رمزگشایی پیام ها از دو کلید رمز استفاده می کند. رمزگذاری نامتقارن از رمزگذاری بوسیله یک کلید خصوصی که هر دو طرف آنرا می دانند مطمئن تر است. در بعضی مواقع با وجود اینکه کاربران 3 روز زمان برای پرداخت مبلغ خواسته شده دارند، آن ها در همان موقع اقدام به پرداخت مبلغ کرده اند، با این وجود هیچ گونه رمزی برای بازگشایی اطلاعات برای آنان ارسال نشده است.
Lipovsky میگوید این یک تهدید توخالی نیست متاسفانه در بیشتر موارد بازگرداندن فایل های رمزگذاری شده بدون رمز مورد نیاز تقریباً غیرممکن است. بر اساس گفته های Lipovsky کاربر می تواند گاهی اوقات اطلاعات را برگرداند اما بهترین دفاع احتیاط است. روش دفاع در برابر Ransomware در سایت We Live Security guide موجود است. همیشه بهترین دفاع از داده ها تهیه نسخه های پشتیبان از داده ها می باشد. اگر کاربرها نسخه پشتیبان داشته باشند این بدافزار صرفاً یک مزاحم است بنابراین اهمیت گرفتن مرتب پشتیبان از داده ها در اینجا مشخص می شود.
US-CERT پیشنهاد می کند کاربران در صورت مواجه با این مشکل و یا مشکوک بودن به آلوده شدن برای احتیاط بیشتر سریعاً ارتباط های سیمی و بی سیم خود را با شبکه قطع کرده و با کارشناسان خبره IT تماس بگیرند و به جای پرداخت پول به سازندگان بدافزار از راهنمایی های کارشناسان استفاده کنند.
منبع:
Back up now! Warning over new wave of Filecoder infections hitting U.S