locky1

به تازگی ویروس جدیدی بین کاربران اینترنت شایع شده که کلیه دیتابیس ها و بک اپ ها را رمزگذاری (encrypt) می کند.

این ویروس از ویندوز شروع به رمزنگاری کرده و به تدریج به دیگر سیستم‌های قابل دسترس در شبکه گسترش می‌یابد. گرچه حمله از سیستم عامل ویندوز شروع می‌شود اما این ویروس قابلیت آلوده کردن دیگر سیستم عامل‌ها نظیر لینوکس و OSX اپل را نیز دارد.

ویروس « لاکی » در دسته‌بندی نرم‌افزارهای «باج افزار» یا بصورت تخصصی‌تر در دسته بندی ویروس‌های «باج گیر»  قرار می‌گیرد. این دسته از ویروس‌ها به روش‌های گوناگون مانع کار عادی سیستم کامپیوتر می‌گردند و به سرعت تقاضای مبلغی پول بعنوان باج می‌نمایند. معمولاً ویروس‌های باج گیر کارایی کامپیوتر را کاملاً مختل می‌نمایند یا اطلاعات آنرا غیر قابل دسترسی می‌کنند به نحوی که هیچ کار  مفیدی نتوان با آن انجام داد. در صورتی که قربانی مبلغ باج را بپردازد ویروس سیستم را به حالت عادی بر می‌گرداند و خودش را پاک می‌کند اما اگر قربانی حاضر به پرداخت مبلغ باج نباشد باید از خیر تمامی اطلاعات خود بگذرد و با پاک کردن تمامی اطلاعات هارد دیسک و نصب مجدد سیستم عامل کامپیوتر را به حالت عادی برگرداند.

نحوه نفوذ لاکی:

 

locky2

لاکی توسط ایمیل  و فایل پیوست شده به ایمیل، منتقل می شود، خصوصا فایل پیوستی که از نوع فایل word باشد. این فایل word شامل یک ماکرو است که به محض اجرا شدن، «ویروس باج گیر» اصلی را از اینترنت دانلود می‌کند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیل‌های تبلیغاتی یا با آدرس ناآشنا بپرهیزید. در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نموده‌اند که ایمیلی با عنوان مُعین را باز نموده‌ و بعد از آن دچار مشکل شده‌اند. بطور کلی در بیشتر موارد ایمیل‌ها تبلیغاتی و با آدرس‌های ناآشنا بوده‌اند. بطور دقیق‌تر به محض اجرا شدن فایل Word، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی می‌سازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript از اینترنت گرفته و اجرا می‌کند.

معمولا این ویروس ها قادر به آسیب رساندن به فایل های زیپ شده نمی باشند.

نحوه خرابکاری ویروس لاکی:

locky3

این ویروس به محض آلوده شدن کامپیوتر شروع به دستکاری اطلاعات فایل‌های شما می‌کند. هدف اصلی این ویروس رمزگذاری اطلاعات مهم فایل‌های کامپیوتر است. از آنجایی که بیشتر فایل‌های مهم کاربران متن‌های نوشته شده با برنامه‌های آفیس، فیلم‌ها، عکس‌ها و تصاویر شخصی می‌باشند این ویروس با رمزکردن اطلاعات داخل آنها مانع دسترسی عادی به آنها می‌شود. برخی از فایل‌های معروف متنی، تصویری و صوتی که توسط ویروس لاکی مورد حمله قرار می‌گیرند عبارتند از:

.doc, .docx, RTF, .pdf, .XLS, .PPT,  .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm,  .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

 

توجه داشته باشید که ویروس لاکی فقط به فایل‌های درایو C شما بسنده نمی‌کند بلکه تمام فایل‌های موجود در درایوهای کامپیوتر و حتی حافظه‌های فلش و هارددیسک‌های اکسترنال متصل به آن را نیز رمزگذاری می‌کند.

بعد از رمزگذاری پسوند فایل‌ها به locky. تغییر می‌یابد البته این ویروس نام فایل‌ها را نیز عوض می‌کند که باعث سخت‌تر شدن کار با فایل‌ها می‌شود. رمزنگاری مورد استفاده این ویروس ترکیبی از دو رمزنگاری بسیار پیچیده RSA و AES-128 می‌باشد که هر دو واقعاً از رمزنگاری‌های قوی هستند. در حال حاضر امکان شکستن سریع این نوع رمزنگاری بدون داشتن کلید رمز میسر نیست.

بعد از اتمام رمزگذاری نوبت درخواست پرداخت باج است. این ویروس مبلغی بین ۲۰۰ تا ۴۰۰ دلار به صورت بیت‌کوین درخواست می‌کند تا کلید رمز و برنامه بازگرداننده اطلاعات به صورت اول آن را در اختیارتان قرار دهد. بیت‌کوین یک نوع پول الکترونیکی است و از آنجایی که امکان ردیابی آن سخت است در بین هکرها بسیار محبوب است.

بهتر است بدانید ویروس لاکی حتی فایل‌های VSS (Volume Snapshot Service) که به عنوان فایل های shadow copies نیز معروف هستند را به طور کامل حذف می کند. Shadow copies روشی است که ویندوز به صورت پنهانی و بدون اینکه در فعالیت‌های کاربر خللی ایجاد شود، از درایوهای مشخص شده snapshot تهیه می کند.

راهکار:

بطور کلی بهترین روش برای در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس به روز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر Word و   Execlخوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. توصیه می‌کنیم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی بتوانید فایل‌های خود را بازیابی نمایید.

منبع: antivirus.ir

محصولات تدبیر