ابتکار شیطانی در گونه جدید باج افزار Locky
سازندگان باج افزار مشهور Locky یک راهکار جایگزین به گونه جدید این باج افزار اضافه کرده اند تا حتی در صورت عدم دسترسی به مرکز کنترل و فرماندهی، باج افزار همچنان قادر به رمزگذاری فایلهای قربانی باشد.
به گزارش شرکت مهندسی شبکه گستر و به نقل از شرکت ضدویروس Avira، گونه جدید باج افزار Locky شروع به رمزگذاری فایلها می کند حتی در زمانی که ارتباط اینترنتی با مرکز فرماندهی خود ندارد و نمی تواند درخواست کلید رمزگذاری منحصر بفرد برای کامپیوتر قربانی کند. این عدم ارتباط می تواند به دلیل قطع اینترنت و یا مسدود ساختن ترافیک باج افزار توسط دیواره آتش باشد.
اغلب باج افزارهای امروزی بعد از آلوده ساختن کامپیوتر قربانی و فعال شدن بدافزار، در صورتیکه نتوانند با سرور فرماندهی تماس برقرار کنند، اقدام به رمزگذاری فایلها نمی کنند. زیرا برای شروع رمزگذاری، باید یک جفت کلید رمزگذاری منحصربفرد از طرف سرور فرماندهی برای آن کامپیوتر آلوده صادر شود. باج افزار، کلید عمومی را دریافت کرده و بر اساس آن فایلها را رمزگذاری می کند. کلید خصوصی هم بر روی سرور فرماندهی باقی می ماند تا از آن برای رمزگشایی فایلهای رمزشده استفاده شود.
به همین دلیل نیز تا بحال توصیه می شد تا به محض شناسایی باج افزار بر روی کامپیوترهای خود، فورا ارتباط اینترنت را قطع کنید. ولی اکنون با ظهور گونه جدید Locky این اقدام همیشه کارساز نخواهد بود.
البته یک ضعف بسیار بزرگ در راهکار جایگزین و جدید Locky وجود دارد. در صورت عدم وجود ارتباط با سرور فرماندهی، باج افزار Locky از یک کلید عمومی که در داخل باج افزار گنجانده شده است، برای رمزگذاری فایلهای همه قربانیان خود استفاده می کند. لذا اگر یک قربانی اقدام به پرداخت باج کند و کلید خصوصی برای رمزگشایی فایلهای خود دریافت نماید، آن کلید خصوصی برای رمزگشایی فایلهای همه قربانیان قابل استفاده خواهد بود.