شماره: IRCNE2014012063
تاريخ:21/10/92
گروهي از توليدكنندگان بدافزار، برنامه گروگان گير جديدي را آماده كردند كه فايل ها را بر روي رايانه هاي آلوده شده رمزگذاري مي كند و از قرباني مي خواهد براي دسترسي به اين فايل ها مبلغي را پرداخت نمايد.
اين بدافزار جديد را PowerLocker نامگذاري كردند و ايده آن از تروجان گروگان گير موفق CryptoLocker كه از ماه سپتامبر حدود 250000 رايانه را آلوده كرد، الهام گرفته شده است. اين بدافزار همانند بدافزار CryptoLocker از يك روش رمگذاري قوي استفاه مي كند كه بدون پرداخت پول نمي توان به فايل ها دسترسي يافت. هم چنين از آن جا كه توليدكنندگان آن اعلام كردند كه قصد دارند اين بدافزار گروگان گير را به مجرمان سايبري بفروشند، اين بدافزار بسيار پيچيده و به طور بالقوه بسيار خطرناك مي باشد.
با توجه به يافته هاي يك توليدكننده بدافزار كه با شناسه آنلاين "gyx" شناسايي مي شود، بدافزار PowerLocker شامل يك فايل واحد است كه در فولدر موقت ويندوز قرار مي گيرد. زماني كه براي اولين بار بر روي رايانه اي اجرا شود، تمامي فايل هاي كاربر را كه بر روي درايوهاي داخلي و فايل هايي كه در شبكه به اشتراك گذاشته است به استثناي فايل هاي اجرايي و سيستمي، رمزگذاري مي كند. هر فايل با يك الگوريتم Blowfish و يك كليد واحد رمز مي شود سپس اين كليدها با كليد RSA 2048 بيتي رمز مي شود. در واقع رايانه كاربر كليد عمومي را دارد اما كليد خصوصي متناظر با آن كه براي بازگشايي رمز نياز است را در اختيار ندارد.
امروزه تمامي بدافزارها از طريق سوء استفاده از آُسيب پذيري هاي موجود در برنامه هاي محبوبي مانند جاوا، فلش پلير و ... توزيع مي شوند در نتيجه براي اجتناب از آلوده شدن به هر گونه بدافزاري، به روز نگه داشتن تمامي برنامه هاي كاربردي اهميت بسزايي دارد.
هم چنين تهيه نسخه پشتيبان از داده هاي موجود بر روي رايانه ها يك ضرورت است و در صورت آلوده شدن به اين بدافزار مي توان بدون پرداخت وجهي فايل هاي مورد نظر را برگرداند. بايد توجه داشت كه نسخه پشتيبان نبايد بر روي همان رايانه يا فايل هاي مربوط به اشتراك گذاري شبكه قرار داشته باشد زيرا اين بدافزار مي تواند تمامي نسخه هاي پشتيبان را نيز تحت تاثير قرار داده و تخريب كند.
- 2