خدمات ویژه ویروس CryptoLocker
نویسنده بدافزار CryptoLocker، بدافزاری که اطلاعات قربانی را رمزگذاری کرده و برای بازگشایی آن از کاربر اخاذی می کند، اکنون شانس دومی هم به قربانیان خود می دهد تا اگر تغییر عقیده داده اند، باج درخواستی را پرداخت کنند و اطلاعات خود را رمزگشایی شده، پس بگیرند.
بدافزار CryptoLocker از یک کلید رمزگذاری Public-Private استفاده می کند و انواع فایلها را بر روی سیستم قربانیان خود، رمزگذاری کرده و غیر قابل دسترس برای کاربر می کند. سپس از کاربر درخواست 300 دلار باج، بصورت Bitcoin (واحد پولی اینترنتی)، می کند تا کلید رمزگذاری را برای بازگشایی فایل ها در اختیار او بگذارد. هر قربانی دارای یک کلید رمزگذاری منحصر بفرد است.
بدافزارهایی که در گروه Ransomware (باجگیر) قرار می گیرند، اغلب به روش های مشابهی اقدام به اخاذی می کنند ولی معمولاً راهکاری برای بازگشایی فایل ها بدون پرداخت باج وجود دارد. در مورد بدافزار CryptoLocker چون کلید رمزگذاری Private نزد بدافزارنویس نگهداری می شود، به هیچ وجه امکان بازگشایی فایلها بدون آن کلید نیست.
نویسنده بدافزار CryptoLocker برای اینکه قربانیان خود را تحت فشار بیشتر قرار دهد به آنان هشدار می دهد که کلید Private ظرف 72 ساعت برای همیشه از بین خواهد رفت و حتی نویسنده بدافزار هم دیگر قادر به بازگشایی فایلها نخواهد بود.
اکنون به نظر می رسد که نویسنده CryptoLocker اقدام به عرضه خدمات ویژه ای برای بازگشایی فایلهای رمزگذاری شده، کرده است. کاربرانی که اقدام به حذف و پاکسازی بدافزار CryptoLocker از روی سیستم خود کرده اند ولی فایل هایشان همچنان بصورت رمزگذاری شده، باقی مانده است، می تواند با پرداخت 2300 دلار (در مقایسه با 300 دلار باج خواهی اولیه) کلید Private مربوط به خود را از بدافزارنویس دریافت کنند.
در صورت اقدام کاربر برای خرید کلید بازگشایی فایلها، نویسنده CryptoLocker از کاربر می خواهد تا یکی از فایل های رمزگذاری شده را به یک سرور خاص ارسال (Upload) کند و 24 ساعت برای دریافت کلید بازگشایی صبر کند.
احتمال داده می شود که چون کلید Public که روی سیستم قربانی قرار داده می شود، اغلب هنگام پاکسازی بدافزار حذف و پاک می شود، نویسنده CryptoLocker به روش سعی و خطا، تک تک کلیدهای Private را که در اختیار دارد، برای بازگشایی فایل ارسالی نمونه امتحان می کند تا کلید منحصر بفرد آن قربانی را پیدا کند. به همین دلیل هم 24 ساعت فرصت لازم دارد.
بدین ترتیب به نظر می رسد که تهدید 72 ساعت برای معدوم کردن همیشگی کلید رمزگذاری، چندان واقعیت نداشته و بدافزارنویس همچنان کلیدهای قربانیان خود را برای مصارف دیگر در آینده نگه می دارد.
نویسنده CryptoLocker به هر روشی که شده سعی دارد از قربانیان خود اخاذی کند. با تهیه و نگهداری بایگانی (Backup) کامل و به روز، همیشه می توان به این افراد “نه” گفت و قربانی بازی های پرهزینه و مجرمانه آنان نشد.
