با یک "بدافزار" جدید و شایع آشنا شوید

با گذشت تنها دو هفته از آغاز سال میلادی 2014 برخی از بدافزارهای نوظهور شناسایی شده‌اند. معمولا با آغاز تعطیلات پایان سال، موج جدیدی از بدافزارهای خطرناک در فضای مجازی به راه می‌افتد. بدافزارنویسان از فرصت تعطیلات عمومی نهایت بهره‌برداری را می‌کنند، علاوه بر این که در طول این تعطیلات، مراجعات عمومی به اینترنت بیشتر از روزهای عادی نیز هست.

همان طور که پیش‌بینی شده بود، بدافزارهای گروگان‌گیر شایع‌ترین بدافزارهای دو هفته آغازین سال 2014 بوده‌اند.

به نقل از ماهر، گروهی از تولیدکنندگان بدافزار، برنامه گروگان‌گیر جدیدی را آماده کردند که فایل‌ها را روی رایانه‌های آلوده شده رمزگذاری می‌کند و از قربانی می‌خواهد برای دسترسی به این فایل‌ها مبلغی را پرداخت نماید.

این بدافـزار جدیـد PowerLocker نـام‌گـذاری شده و ایـده آن از تـروجان موفق گروگـان‌گیـر CryptoLocker که از ماه سپتامبر حدود 250000 رایانه را آلوده کرد، الهام گرفته شده است. این بدافزار همانند بدافزار CryptoLocker از یک روش رمزگذاری قوی استفاده می‌کند که بدون پرداخت پول نمی‌توان به فایل‌ها دسترسی یافت. همچنین از آن جا که بدافزارنویسان آن اعلام کردند که قصد دارند این بدافزار گروگان‌گیر را به مجرمان سایبری بفروشند، این بدافزار بسیار پیچیده و به طور بالقوه بسیار خطرناک می‌باشد.

با توجـه بـه یافته‌های یـک بدافزارنویـس که با شناسه آنلایـن "gyx" شناسایـی می‌شـود، بـدافزار PowerLocker شامل یک فایل واحد است که در پوشه موقت ویندوز قرار می‌گیرد. زمانی که این بدافزار برای اولین بار روی رایانه‌ای اجرا شود، تمامی فایل‌های کاربر را که روی درایوهای داخلی و فایل‌هایی که در شبکه به اشتراک گذاشته است (به استثنای فایل‌های اجرایی و سیستمی) رمزگذاری می‌کند. هر فایل با یک الگوریتم Blowfish و یک کلید واحد رمز می‌شود. سپس این کلیدها با کلید RSA 2048 بیتی رمز می‌شود. در واقع رایانه کاربر کلید عمومی را دارد اما کلید خصوصی متناظر با آن را که برای بازگشایی رمز نیاز است، در اختیار ندارد.

با توجه به یافته‌های Trend Micro و ESET، این بدافزار در گروه کرم‌ها دسته‌بندی می‌شود و این شرکت‌ها آن را Crilock.A نامیده‌اند (این کرم خود را Cryptolocker 2.0 می‌نامـد). این کرم در قالب یک بـه‌روز رسـان بـرای Adobe Photoshop و Microsoft Office روی سایت‌هایی که بازدید زیادی دارند، ظاهر می‌شود.

ساختار کنترل و فرمان این کرم جدید است بنابراین شرکت Trend Micro معتقد است که Crilock.A کرمی است که صرفا از ساختار کلی Cryptolocker تقلید می‌کند و نسخه اصلی این بدافزار نیست.

هدف قرار دادن فایل‌های به اشتراک‌گذاری شده توسط این بدافزار گروگان‌گیر، انتخاب عجیبی است زیرا با وجـود آن که شانـس دانلـود این بدافزار افزایش می‌یابد اما فهرست بالقوه قربانیان احتمالی این بدافزار بسیار کوچک‌تر از نسخه‌های قبلی این بدافزار است.

بدافزار Crilock.A این توانایی را دارد که درایوهای قابل حمل را هم آلوده نماید.

روش‌های مورد استفاده این کرم بسیار قدیمی است. اگر چه سرعت انتشار این کرم پایین است اما طول عمر بالایی دارد.

از سوی دیگر، در حالی که این کرم می‌تواند روی درایوها برای سال‌ها پنهان باقی بماند اما به محض فعال شدن می‌تواند توسط بسیاری از برنامه‌های امنیتی کشف و مسدود شود.

شرکت ESET فهرسـت کامـل تفـاوت‌هـای Cryptolocker و Crilock.A/Cryptolocker 2.0 را روی وب‌سایت خود قرار داده است.

امروزه بیشتر بدافزارها از طریق سوءاستفاده از آسیب‌پذیری‌های موجود در برنامه‌های محبوبی مانند جاوا، فلش و فناوری‌های دیگر توزیع می‌شوند و در نتیجه برای اجتناب از آلـوده شدن به هر نوع بدافزاری، به‌روز نگه داشتن تمامی برنامه‌های کاربردی اهمیت به سزایی دارد. همچنین تهیه نسخه پشتیبان از داده‌ها و فایل‌های موجود روی رایانه‌ها یک ضرورت است.

در صورت آلوده شدن بـه این نوع از بـدافزارها که تعدادشـان هـم رو به افزایـش است، می‌توان بدون پرداخت وجهـی فایـل‌های مـورد نظر را برگـرداند. باید به این موضوع توجـه داشـته باشید که نسخـه‌های پشتیبان فایل‌ها نبایـد روی همـان رایانه و با انـواع یکسان ذخیره شده باشنـد. چـرا که این بدافزارها نسخـه‌های پشتیبان را نیز تحت تاثیر قرار داده و تخریب می‌کند.

سعی کنید فایل‌های به‌روز رسانی برنامه‌های کاربردی خود را از سایت‌های سازنده برنامه‌های دانلود، دریافت نمایید.

در صورتی که این امکان وجود نداشت، این فایل‌ها را از سایت‌های معتمد و شناخته شده دریافت نموده و البته دقت کنید که در صف دریافت این فایل‌ها اولین نفر نباشید.