دانشگاه صنعتی خواجه نصیرالدین طوسی
CBT Locker بدافزار



از اواخر سال 1393 ، بدافزار
CBT Locker بر روي تعدادي از رايانه هاي داخل كشور مشاهده شده است لذا باتوجه به حساسيت ها روي اين بدافزار (باج افزار) كه با دراختيار قرار گرفتن كنترل ورودي و خروجي هاي رايانه مانند كي بورد و صفحه نمايش ، پيام هاي تهديد آميزي به كاربران نمايش مي دهد و از آن ها درخواست پول مي نمايد ، لازم است برخي موارد ، مد نظر كاربران محترم قرار گيرد :

CBT Locker يكي از انواع باج افزار است كه با نامCritroni  نيز شناخته مي شود. اولين موارد CBT Locker در تيرماه سالجاري در روسيه و اوكراين مشاهده شده است . اين باج افزار مي تواند سيستم هاي عامل ويندوز xp ، ويستا ، 7 و 8 را آلوده سازد . روش عمل بدافزار بدين صورت است كه فايل هايي با پسوندهاي pem ، mp4 ، db ، doc ، docx ، jpg و ساير فايل ها با محتواي غني را با يك كليد نامشخص رمزگذاري مي كند ، به نحوي كه شناسايي كليد و بازگرداندن آنها تقريبا غيرممكن است .پس از پايان رمزگذاري، بدافزار پيامي را به كاربر نشان مي دهد و از او درخواست مبلغي (مثلا1700 دلار) به صورت الكترونيكي درخواست مي كند .

نحوه انتشار اين ويروس از طريق ارسال فايل هاي آلوده توسط ايميل بوده و بعضاً كاربر پس از دانلود ضميمه ، متوجه فايل هايي مي شوند كه ظاهراً screen saver است اما با اجراي آن ها بدافزار بر روي رايانه اجرا مي شود و پس از آلوده كردن سيستم ، محتواي يك فايل word pad با مضمون يك شماره فكس بر روي كامپيوتر باز مي شود .

برخي نسخ آنتي ويروس ها امكان شناسايي واز بين بردن اين ويروس را دارند ولي باتوجه به تغيير مدوام ديتابيس بدافزار امكان شناسايي آن حتمي و قطعي نيست .

نكته: نرم افزار cryptoprevent مي تواند با اعمال سياست ها و ايجاد تغييراتي در سيستم عامل ويندوز، مسيرهاي شناخته شده اجراي باج افزارها را مسدود نمايد . اين نرم افزار رايگان و استفاده از آن ساده است . اين نرم افزار را مي توان از نشاني ذيل و يا ساير سايت ها دريافت نمود:

http://62.60.136.26/CryptoPreventSetup.zip

استفاده از اين نرم افزار طبيعتا مي تواند باعث ايجاد اختلال و محدوديت هايي در نصب برنامه ها و يا اجراي برخي برنامه هاي كاربردي گردد. كاربر در هر زمان مي تواند با استفاده از گزينه None كليه تنظيمات امنيتي اعمال شده توسط آن برنامه را حذف نمايد .

روش هاي جلوگيري از آلوده شدن توسط CBT-locker

1. تحت هيچ شرايطي، ضميمه ي ايميلي از سمت ارسال كننده ناشناس باز نشود. (فرستنده مي تواند از طرف فيسبوك يا linkedin يا خريد يا از طريق invoice بانكي باشد)

2. تحت هيچ شرايطي ، لينكي از طريق ايميل ناشناس باز يا كليك نشود.

3. در صورت بازكردن پيام ناشناس و آلوده شدن به سرعت كابل شبكه ي سيستم را قطع نماييد. اين كار از پخش شدن در شبكه جلوگيري مي كند.

4. درصورت استفاده از نرم افزارهايMail server (ويندوز يا لينوكس) امكان Anti Spam را فعال يا از نرم افزار هاي جلوگيري از SPAM استفاده شود.

5 .در صورت امكان از تمامي فايل ها به صورت دوره اي و قبل از آلوده شدن backup گرفته شود.

6 .آنتي ويروس دستگاه حتما به روز باشد. در صورتي كه از آنتي ويروس Kaspersky استفاده مي شود ، حتما گزينه system watcher component روشن باشد .
 
 
 
                                                                                                                                                                                                 آبان ماه 1394

تاریخ بروز رسانی
1394/09/15
.کلیه حقوق این وب سایت متعلق به دانشگاه خواجه نصیرالدین طوسی می باشد