ایتنا - موج هرزنامههایی که برای ویندوز ۱۰ بهراه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوریهای روز مجهز هستند.
شناسایی باجافزار CTB-Locker در ایمیلهای قلابی ارتقا به ویندوز ۱۰
سايت خبری ايتنا , 14 مرداد 1394 ساعت 13:33
ایتنا - موج هرزنامههایی که برای ویندوز ۱۰ بهراه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوریهای روز مجهز هستند.
به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ یک هفته بعد از شروع امکان ارتقای رایگان نسخههای قدیمیتر ویندوز به ویندوز ۱۰، مطالب زیادی درباره مشکلات مربوط به امنیت و حریم خصوصی کاربران در این سیستم عامل منتشر شد. یکی از جنجالبرانگیزترین مشکلات ویندوز ۱۰ سرویس Wi-Fi Sense است؛ قابلیتی که به سرویسهای آنلاین امکان میدهد شبکه اینترنت Wi-Fi کاربران را شناسایی و به آن دسترسی پیدا کنند.
هکرها با اگاهی از این مطلب دست به کار شدهاند. طبق انتظار هرزنامهها و پیامهای فیشینگ مربوط به ویندوز ۱۰ نیز از راه رسید و در یکی از خطرناکترین این هرزنامهها مهاجمان سعی میکنند خود را جای مایکروسافت جا بزنند تا از این طریق یک باجافزار روی سیستم آنها نصب کنند.
به گفته محققان مرکز تحقیقاتی Cisco TALOS هرزنامهای همراه با یک فایل پیوست آلوده برای بسیاری از کاربران ارسال شده که مهاجمان آن را بهروز رسانی جدید ویندوز ۱۰ اعلام کرده و کاربران را به دانلود و اجرای آن تشویق میکنند.
کاربران با اجرای این فایل آلوده که درون یک فایل زیپ قرار دارد ناآگاهانه باجافزار CTB-Locker را روی سیستم نصب میکنند. CTB-Locker عملکردی مشابه اغلب باجافزارها دارد؛ این بدافزار از طریق ایمیل منتشر شده، کاربران قربانی آن را دانلود میکنند و باجافزار بعد از نفوذ به سیستم، اسناد و فایلهای کابران را رمزگذاری کرده و در ازای رمزگشایی آنها از آنها پول اینترنتی بیتکوین طلب میکند. این بدافزار ۹۶ ساعت به کاربران مهلت پرداخت میدهد که این مدت زمان کوتاهتر از ضربالعجل باجافزارهای مشابه است.
باجافزار CTB که مخفف Curve-Tor-Bitcoin بوده و با نام Critroni هم شناخته میشود از شیوهای با عنوان elliptic curve cryptography برای رمزنگاری استفاده میکند که مهاجمان در آن از طریق شبکه ناشناس Tor کنترل عملیات مربوط به اخذ باج و رمزگشایی را در دست میگیرند.
موج هرزنامههایی که برای ویندوز ۱۰ بهراه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوریهای روز مجهز هستند. علاوه بر این کاربران برای ارتقای رایگان سیستم عامل خود به ویندوز ۱۰ باید در صف منتظر بمانند. این درحالیست که بعضی از هرزنامهها کاربران را گول میزنند که یک ایمیل رسمی برای ارتقای سیستم عامل خود از سوی مایکروسافت دریافت کردهاند؛ اما به اعلام مایکروسافت، ارتقا و بهروز رسانی معتبر برای ویندوز نه از طریق ایمیل بلکه از طریق دانلود مستقیم صورت میگیرد.
اما این ایمیلها چندان هم بیعیب و نقص نبوده و نکاتی دارند که جعلی بودن آنها را نشان میدهد.
Cisco TALOS در پیامی در وبلاگ خود نوشت: «(در این هرزنامهها) بعضی از حروف و کاراکترها به درستی کنار هم نمینشینند. این مساله ممکن است به دلیل جامعه کاربری هدف آنها باشد که امکان خوانش بعضی از حروف روی سیستم آنها تعبیه نشده و یا به دلیل استفاده مهاجمان از کاراکترها و حروفهای غیراستاندارد جهانی باشد.»
مهاجمان با گنجاندن دو ویژگی عمده دیگر در این هرزنامهها سعی میکنند ظاهر موجهی به آنها ببخشند؛ یکی استفاده از زبان و بیانی مشابه ایمیلها و پیامهای مایکروسافت و دیگری پیام هشداری که ادعا میکند این ایمیل بهوسیله MailScanner اسکن شده و سالم است.
«این هرزنامه حاوی لینکی به یک فیلتر ایمیل معتبر و متن باز است به همین دلیل برخی کاربران خیال میکنند فایل پیوست آن سالم و مطمئن است.»
محققان همچنین شیوه رمزنگاری CTB-Locker را بهینهتر از اغلب باجافزارهای مشابه دانستند. کارشناسان Cisco با بررسی مرکز کنترل و فرمان CTB-Locker دریافتند که این بدافزار از آدرسهای اینترنتی روی پورتهای نظیر ۹۰۰۱، ۴۴۳، ۱۴۴۳ و ۶۶۶ استفاده میکند. Cisco همچنین اعلام کرد که برای تماسها و ارتباطات این باجافزار پورت ۲۱ بهکار گرفته شده است، پورتی که عمدتا برای ترافیک FTP خروجی استفاده میشود.
Cisco در قسمت دیگری از گزارش خود نوشت: «حجم قابل توجهی از دادهها بین سیستمها رد و بدل میشود که این یک مساله عجیب در مورد باجافزارهاست. بررسیهای ترافیک شبکه نشان میدهد که ترافیک حدود ۱۰۰ شبکه از طریق آدرسهای IP گوناگون در جریان بوده است.»
کد مطلب: 37478
آدرس مطلب: https://www.itna.ir/news/37478/شناسایی-باج-افزار-ctb-locker-ایمیل-های-قلابی-ارتقا-ویندوز-۱۰