Click Me؛ باج‌افزاری ایرانی

Click Me؛ باج‌افزاری ایرانی

تاریخ ایجاد

Click Me نام باج‌افزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به‌صورت پنهان فایل‌ها را رمز می‌کند و پس از آن برای دسترسی به فایل‌ها تقاضای باج می‌کند. البته این باج‌افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد؛ اما ممکن است در آینده خطر‌های جدی‌تری را برای قربانیان ایجاد کند.
بازی ClickMe یک باج‌افزار ایرانی بوده که به تازگی شناخته شده است. این باج‌افزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل‌های سیستم قربانی می‌پردازد.
صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می‌شود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می‌شود. این صفحه از کاربر تقاضای پرداخت پول می‌کند تا پسورد فایل‌های رمز شده سیستم قربانی را در اختیار وی قرار دهد. البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باج‌افزار این صفحه تکمیل شود
این باج‌افزار به فایل‌هایی که رمز می‌کند، پسوند “hacked” را اضافه می‌کند. الگوریتم رمز مورد استفاده این باج‌افزار AES با طول کلید 256 بیت است. این برنامه توانایی آسیب رساندن به فایل‌های متنی، چند‌رسانه‌ای و آفیس را دارد. فایل‌های دارای پسوند زیر در معرض آسیب از طرف این باج‌افزار هستند.

.3GP, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .JAVA, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DXF, .DWG, .DRW, .CASB, .CCP.

بررسی بدافزار فوق نشان داده که این باج‌افزار در حال توسعه است و در حال حاضر تنها یک فایل به نام “ransom-flag.png” که در درایو "D:\" ایجاد می‌کند را رمز کرده و بقیه فایل‌ها را دست نخورده باقی می‌گذارد. به همین دلیل اکنون این باج‌افزار خطر جدی ایجاد نمی‌کند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.
این گونه بدافزارها تقریباً یک استراتژی مشخص برای تکثیر خود دارند. آن‌ها برای نفوذ از روش‌های دانلود نرم‌افزار از سایت‌های غیر معتبر، آپدیت برنامه‌ها از منابع غیر رسمی، فایل‌های پیوست شده به ایمیل‌های آلوده و تروجان‌ها استفاده می‌کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه‌های مخرب، از منابع و سایت‌های غیر معتبر دانلود انجام نشود و از باز کردن ایمیل‌های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی‌ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه‌های مخرب را کاهش می‌دهد.

روش‌های مقابله با این باج‌افزار
وجود فایل‌ها و DLL های زیر می‌تواند نشانه آلودگی سیستم باشد:

  • Ransom_CLICKMEG.A
  • TR/Agent.jjjkr
  • Trojan.GenericKD.3611661
  • Trojan.GenericKD.3611661 (B)
  • Trojan.MSIL.TrojanClicker
  • W32.Troj.Ransom.Filecoder!c

برای پاک کردن این باج‌افزار از روی سیستم، دو راه حل ارائه شده که در ادامه تشریح شده است.

الف) پاک کردن باج‌افزار در محیط Safe Mode
در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باج‌افزار Click Me آلوده شده است، برنامه پاک‌سازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود (برای دریافت ابزار پاک‌سازی، اینجا کلیک شود).

ب) پاک کردن باج‌افزار از طریق بازگردانی سیستم (System Restore)
اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، می‌توان این کار را با System Restore انجام داد. برای این کار بایستی پس از راه‌اندازی دوباره، سیستم را در حالت Safe Mode With Command Prompt راه‌اندازی نمود. پس از آماده به کار شدن سیستم در این حالت، بایستی در خط فرمان (Command Prompt) دستور "cd restore" را وارد کرده و پس از آن دستور "rstrui.exe" را وارد نمود. با این دستور، حالت بازگردانی سیستم فعال شده و می‌توان سیستم را به حالت قبل از آلوده شدن سیستم بازگردانید. پس از بازگشت سیستم به حالت قبلی، بهتر است نرم‌افزار ضد بد‌افزار معتبری را دانلود و اجرا کرده تا همه فایل‌های مربوط به باج‌افزار ClickMe را پاک کند.

برچسب‌ها