بدافزارها

باج افزار Locky
۹ آبان ۱۳۹۶

باج افزار Locky

شماره(های) مرجع مرتبط:

CVE-2016-1019
CVE-2015-1701

نسخه‌ی اولیه‌ی باج افزار Locky

نسخه‌ی اولیه‌ی Locky فایل‌های قربانی را با پسوند locky. رمز می‌نماید. شباهت‌های بسیار زیادی بین سه بدافزار Locky، Jaff و Dridex وجود دارد. تا آنجایی که سازندگان این سه بدافزار را یکی می‌دانند. نسخه‌ی اولیه‌ی باج افزار Locky از طریق هرزنامه‌ای با نام صورتحساب به سیستم قربانیان وارد می‌شود. این روش بعدها توسط باج افزار Jaff هم مورد استفاده قرار گرفت. بعد از گشایش هرزنامه توسط کاربر ادامه‌ی کار توسط ماکروی آلوده‌ای که به فایل Word پیوست شده تزریق شده بود، صورت می‎پذیرفت. متاسفانه به دلیل آموزش ندیدن کاربران، عدم آگاهی آن‌ها و جدی نگرفتن راهکارهای ضد هرزنامه هنوز هم ارسال هرزنامه یکی از روش‌های محبوب مهاجمین برای نفوذ می‌باشد. نسخه‌ی اولیه‌ی باج‌افزار Locky کلید را از مرکز مدیریتش دریافت کرده آن را در حافظه‌اش نگه می‌دارد و فایل‎های قربانی را رمز می‌کند. اما اکثر باج افزارها یک کلید تصادفی ساخته، فایل‌ها را رمز کرده و  فایل رمز شده را به سمت مرکز ارسال می‌نمایند. از این رو رمز گشایی نسخه‌ی اولیه‌ی باج افزار Locky آسان‌تر به نظر می‌رسد.

نسخه‌ی باج افزار Locky با پسوند ykcol.

در سال ۲۰۱۷ نسخه‌ی جدیدی از باج افزار Locky عرضه شد. این نسخه با پسوند .ykcol فایل‌ها را رمز می‌نماید. باز هم از هرزنامه برای نفوذ به سیستم قربانیان استفاده شد. نام هرزنامه به وضعیت صورت حساب تغییر کرد. فایل پیوست یک فایل فشرده با پسوند ۷z بود. در صورتی که کاربر فایل پیوست را باز می‌کرد یک اسکریپت آلوده اجرا می‌شد. برای بسیاری سوال بود که چرا از فرمت ۷z برای فشرده سازی استفاده شده بود با این که فرمت متدوالی نیست و بازگشایی آن نیاز به برنامه دارد. پاسخ این است که طراحان Locky قصد مخفی ماندن از دید ضدهرزنامه‌ها را داشته‌اند. پس از اجرای اسکریپت VB آلوده و شروع باج افزار به رمز نمودن فایل‌ها، پیغام باج برای قربانی به نمایش در می‌آید. درخواست باج به صورت ارز دیجیتال و بالغ بر ۰٫۲۵ بیت کوین در این نسخه می‌باشد. نسخه‌ی قبلی در کشورهای امریکا . کانادا گزارش شده بود. اما نسخه‌ی جدید گستره‌ی جغرافیایی خود را گسترش داد و حتی در ایران نیز مشاهده شد.

نسخه‌ی باج افزار Locky با پسوند lukitus.

نسخه‌ی جدیدتری از باج افزار Locky هم عرضه شد که فایل‌ها را با پسوند lukitus  رمز می‌نمود. باز هم مانند نسخه‌های قبلی از هرزنامه برای نفوذ استفاده شد. اما طراحان ترجیح دادند نامی برای هرزنامه‌ی ارسالی انتخاب نکنند. هرزنامه‌های نسخه‌ی جدید عموما با عنوان و یا در برخی موارد Emailing – CSI-034183_MB_S_7727518b6bab2 ارسال می‌شوند. بعد از بازگشایی هرزنامه، اجرای اسکریپت و رمز شدن فایل‌ها پیغام باج خواهی برای کاربر به نمایش می‌آید. مانند سایر باج افزارها باج درخواستی به صورت ارز دیجیتال است. باجی بالغ بر ۰٫۴۹ بیت کوین از قربانی درخواست می‌گردد که در مقایسه با نسخه‌های قبلی باج افزار Locky افزایش داشته است.

نسخه‌ی باج افزار Locky با پسوند asasin.

بعد از آن نسخه‌ی دیگری هم از باج افزار Locky مشاهده شد. در این نسخه فایل‌ها با پسوند asasin. رمز می‌شوند. باز هم مانند نسخه‌های قبلی برای نفوذ از هرزنامه استفاده شد. کلمه‌ی صورت حساب در عنوان این هرزنامه‌ها وجود داشت اما از واژگان دیگری مانند اسناد، امضا و اعداد هم در ساختن نام این هرزنامه‌ها استفاده شد. به عنوان مثال:Document invoice_95649_sign_and_return.pdf is complete یکی از نام‌هایی بود که برای عنوان هرزنامه انتخاب شد. روش آلوده ساز ی هم استفاده از اسکریپت VBS که در یک فایل فشرده شده با فرمت ۷z تزریق شده است، می‌باشد.

راهکارهای کسپرسکی

  • از ضد ویروس معتبر استفاده نمایید.
  • اگر از کسپرسکی استفاده می‌کنید ماژول ضد هرز نامه‌ آن را فعال نمایید.
  •  کسپرسکی  به صورت خودکار اسکریپت‌های در حال بارگذاری را تشخیص داده و به کاربر هشدار ارسال می‌نماید. کسپرسکی این اسکریپت‌ها را به عنوان Trojan-Downloader.MSWord.Agent,، Trojan-Downloader.JS.Agent و HEUR:Trojan-Downloader.Script.Generic a شناسایی می‌نماید.
  • کسپرسکی فایل‌های اجرایی باج افزار Locky را شناسایی کرده و به کاربر هشدار می‌دهد. این فایل‌ها را باعنوان Trojan-Ransom.Win32.Locky نمایش می‌دهد.
  •  System agent در ماژول Internet Security کسپرسکی نمونه‌های ناشناخته و جدید از باج افزار Locky را شناسایی کرده و به کاربر هشدار مربوطه را ارسال می‌نماید.

شرکت آرمان داده ‌پویان نماینده رسمی محصولات کسپرسکی در ایران


تازه ترین ها