گسترش نخستین باج افزار خطرناک به زبان فارسی

درحالی که برخی کارشناسان از یک ماه پیش نسبت به انتشار یک باج افزار فارسی زبان هشدار می دادند، مرکز ماهر روز گذشته از شناسایی این باج افزار خبر داد.
شرکت های ایرانی در یکی دو سال گذشته با باج افزارهای زیادی دست و پنجه نرم کرده اند. این نوع بدافزارها با رمزگذاری فایل های موجود روی سیستم ها، از قربانی تقاضای باج (عمدتا به صورت بیت کوین) می کنند. اما این نخستین بار است که یک باج افزار نسبتا خطرناک به زبان فارسی منتشر می شود.

باج افزار ایرانی یا فارسی؟
مرکز مدیریت عملیات رخدادهای رایانه ای (ماهر) این باج افزار را ایرانی دانسته است، اما به عقیده کارشناسان، شواهد کافی برای ایرانی بودن آن در دست نیست و تنها می توان آن را یک باج افزار فارسی دانست.
روز گذشته مرکز ماهر نسبت به فعال شدن باج افزار جدید تحت عنوان «Click Me» هشدار داد.

Click Me نام باج افزار جدید فارسی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به صورت پنهان فایل ها را رمز می کند و پس از آن برای دسترسی به فایل ها، تقاضای باج می کند. البته این باج افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد اما ممکن است در آینده خطرهای جدی تری را برای قربانیان ایجاد کند. با این حال به نظر می رسد باج افزار شناسایی شده نسخه تکامل یافته تری باشد از آنچه یک ماه پیش توسط برخی شرکت های امنیتی شناسایی شد.
این باج افزار در قالب یک بازی کامپیوتری سبک ارایه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل های سیستم قربانی می پردازد.

نحوه عمل click me
صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می شود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می شود.
این صفحه از کاربر تقاضای پرداخت پول می کند تا پسورد فایل های رمزشده سیستم قربانی را در اختیار وی قرار دهد. البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی یا اطلاعاتی برای واریز پول وجود ندارد؛ اما ممکن است با پیشرفت این باج افزار این صفحه تکمیل شود.
این باج افزار به فایل هایی که رمز می کند، پسوند «hacked» را اضافه می کند. الگوریتم رمز مورداستفاده این باج افزار AES با طول کلید ۲۵۶ بیت است. این برنامه توانایی آسیب رساندن به فایل های متنی، چندرسانه ای و آفیس را دارد.
بررسی بدافزار فوق از سوی مرکز ماهر نشان داده که این باج افزار در حال توسعه است و درحال حاضر تنها یک فایل به نام «ransom-flag.png» که در درایو «D:\» ایجاد می کند را رمز کرده و بقیه فایل ها را دست نخورده باقی می گذارد. به همین دلیل اکنون این باج افزار خطر جدی ایجاد نمی کند؛ اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.
مرکز ماهر به کاربران هشدار داد: این گونه بدافزارها تقریبا یک استراتژی مشخص برای تکثیر خود دارند. آن ها برای نفوذ از روش های دانلود نرم افزار از سایت های غیر معتبر، به روزرسانی برنامه ها از منابع غیررسمی، فایل های پیوست شده به ایمیل های آلوده و تروجان ها استفاده می کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه های مخرب، از منابع و سایت های غیرمعتبر دانلود انجام نشود و از باز کردن ایمیل های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه های مخرب را کاهش می دهد.
نشانه های آلودگی
براساس اعلام مرکز ماهر وجود این فایل ها و DLLها می تواند نشانه آلودگی سیستم باشد:
Ransom_CLICKMEG.A
TR/Agent.jjjkr
Trojan.GenericKD.3611661
Trojan.GenericKD.3611661 (B)
Trojan.MSIL.TrojanClicker
W32.Troj.Ransom.Filecoder!c

روش های مقابله

1. پاک کردن باج افزار در محیط Safe Mode: در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باج افزار Click Me آلوده شده است، برنامه پاک سازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود.
2. پاک کردن باج افزار از طریق بازگردانی سیستم (System Restore): اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، می توان این کار را با System Restore انجام داد. برای این کار باید پس از راه اندازی دوباره، سیستم را در حالتSafe Mode With Command Prompt راه اندازی کرد. پس از آماده به کار شدن سیستم در این حالت، باید در خط فرمان (Command Prompt) دستور “cd restore” را وارد و پس از آن دستور “rstrui.exe” را وارد کرد. با این دستور، حالت بازگردانی سیستم فعال شده و می توان سیستم را به حالت قبل از آلوده شدن سیستم بازگرداند. پس از بازگشت سیستم به حالت قبلی، بهتر است نرم افزار ضد بد افزار معتبری را دانلود و اجرا کرده تا همه فایل های مربوط به باج افزار ClickMe را پاک کند.

مرکز ماهر لیست فایل هایی که می توانند در معرض آسیب از طرف این باج افزار باشند و نیز روش های مقابله با این باج افزار و ابزار پاکسازی آن را در سایت اطلاع رسانی خود به نشانی certcc.ir قرار داده است.

منبع: فناوران