با سلام و احترام؛
قابل توجه کلیه کاربران محترم دانشگاه تهران،
پیرو شیوع گونه جدیدی از انواع بدافزارهای باجگیر (Ransomware) با عنوان CTB-Locker، اطلاعات لازم در خصوص عملکرد و نحوه شناسایی و پاکسازی این بدافزار به شرح زیر تقدیم می گردد. به ادامه مطلب بروید
از اوایل بهمن ماه سال گذشته انتشار گونه جدیدی از باج افزار CTB-Locker در کشورهای مختلف از جمله ایران گزارش شده است. گونه جدید نیز مانند بقیه بدافزارهای باجگیر (Ransomware) اقدام به رمزگذاری فایلهای کامپیوتر قربانی کرده و از کاربر برای رمزگشایی و برگرداندن فایلها به حالت عادی اخاذی می کند. در گونه جدید CTB-Locker، مبلغ اخاذی حدود ۷۵۰ دلار و مهلت پرداخت باج 96 ساعت می باشد.
این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP به کاربر ارسال می گردد و فایل ZIP بطور معمول حاوی فایل اجرایی با پسوند SCR است. این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جملهDOC ، DOCX، PDF و XLS می کند.
این بدافزار از الگوریتم RSA-encryption 3072bit برای رمزگذاری فایلها استفاده نموده و پس از فعال شدن در سیستم عامل، اقدام به دریافت کلید اختصاصی (Private) از سرویسهای مخفی خود از طریق اینترنت نموده و سپس اقدام به رمزگذاری فایلها خواهد نمود. لازم به ذکر است که تا کنون هیچ راهکاری جهت رمزگشایی فایلهای رمز شده از سوی شرکتهای امنیتی معرفی نشده و تنها روش رمزگشایی، پرداخت مبلغ درخواستی باج افراز می باشد. گونه های مختلف این بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ توسط ضدویروس McAfee و با استفاده از آخرین به روز رسانی(DAT) و فرمول شناسایی موقت (Extra DAT) قابل شناسایی و پاکسازی می باشد.
با توجه به گسترش انواع گوناگون باج افزارها، رعایت نکات زیر جهت پیشگیری از گسترش این گونه آلودگیها الزامی می باشد:
پرهیز از بازگشایی ایمیلها و پیوست های ناشناس و مشکوک
اطمینان از به روز رسانی مستمر و به روز بودن نرم افزار ضد ویروس
به روز رسانی سیستم های عامل و نرم افزارهای کاربردی و نصب اصلاحیه های امنیتی آنها
تهیه پشتیبان از داده های بااهمیت بصورت دوره ای
بهره گیری از نرم افزارها و سخت افزارهای ضد هرزنامه (Anti-Spam)
محدود کردن سطح دسترسی کاربران
آموزش کاربران
اطلاعات جدید و کامل تر درباره بدافزار CTB-Locker و دیگر رویدادهای مرتبط با حوزه امنیت شبکه، روزانه در پایگاه اطلاع رسانی شرکت مهندسی شبکه گستر به آدرس http://blog.shabakeh.net منتشر شده و در دسترس می باشد.
جهت پیشگیری و پاکسازی گونه های مختلف از این نوع باج افزار سیاستها و 58Extra DAT داخل ضدویروس کلیه سرورها و ایستگاه های کاری تنظیم شده که قادر به شناسایی 58 گونه از باج افزار مذکور را هستند .
6/2/94
مرکز فناوری اطلاعات و فضای مجازی دانشگاه تهران
کارگروه پشتیبانی سخت افزار و ضد ویروس
