گونه ی جدید باج افزار Locky با پسوند Asasin

امروز جدیدترین نسخه Locky Ransomware منتشر شد که اکنون از پسوند .asasin برای رمزنگاری استفاده می کند.

من شخصاً فکر میکنم که پسوند قبلی .ykcol هوشمندانه تر بود، در حالی که این یکی به طور جدی نیاز به تصحیح املایی دارد.

خوشبختانه، توزیع فعلی این باج افزار به علت کمپین اسپم ناقص، که در زیر شرح داده شده، شکسته شده است.

توجه داشته باشید که اگر به این باج افزار آلوده شدید، شما به باج افزار Asasin آلوده نیستید، زیرا برخی از سایت ها ممکن است آن را فراخوانی کنند. شما در عوض به Locky آلوده شدید که از پسوند .Asasin استفاده می کند.

توزیع باج افزار Asasin از طریق کمپین های اسپم ناقص

این گونه اکنون از طریق کمپین های ایمیل اسپم منتشر میشود که عنوانی شبیه به "Document invoice_95649_sign_and_return.pdf is complete" را دارد. و جهت فریب دادن کاربران میباشد. خوشبختانه برای ما و بدبختانه برای سازندگان این باج افزار، تنها نقطه ی کارآمد در این کمپین، عنوان آن میباشد.

هر کسی که این ایمیل های اسپم را منتشر میکند، فایل های مورد نظر را به درسته ضمیمه نمیکند که باعث میشود فایل ها برای دریافت کننده و قربانیان قابل رویت نباشد. این شیوه ی ضمیمه سازی به صورت Base64 میباشد.

علاوه بر این، حتی اگر فایل ضمیمه شده به درستی کار میکرد. فرمت فایل ها به صورت 7zip یا 7z میباشد که اکثریت مردم هیچ اطلاعی از چگونگی باز شدن آن ندارند. این فایل ها شامل یک فایل VBS هستند که زمان اجرا اقدام به دانلود فایل اجرایی لاکی به صورت ریموت میکنند.

باج افزار لاکی Asasin تغییر میکند.

در واقع تفاوت چندانی بین این گونه جدید و گونه ی قبلی ykcol نیست. تفاوت اساسی آن زمان رمزنگاری میباشد که این گونه ی جدید تغییر نام فایل مورد نظر و اضافه کردند پسوند .asasin است. زمانی که فایل تغییر نام میدهد ازفرمت
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].asasin.
الگو میبرد. این بدین معناست که فایلی با نام 1.png به نامی با تشابه E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin رمزنگاری میشود.

زمانی که لاکی رمزنگاری سیستم را به اتمام میرساند. فایل اجرایی دانلود شده را حذف میکند و یک یادداشت باج افزار را نمایان میکند که شیوه و دستور العمل پرداخت باج را نشان میدهد. نام یاد داشت های باج افزاران به asasin.htm و  asasin.bmp تغییر میکند.

در زمان نگارش این مطلب، سایت پرداخت لاکی میزان مبلغ پرداختی را .25 BTC بیت کوین تعیین کرده است که تقریبا 1.200 دلار آمریکا میشود.

امکان رمزگشایی فایل های قفل شده توسط اینگونه وجود ندارد

متاسفانه، در حال حاضر امکان رمزگشایی فایل های کد شده با پسوند .asasin به صورت رایگان وجود ندارد.

تنها راه بازگشت فایل های کد شده از طریق بکاپ میباشد. اگر خیلی خوش شانس باشید نیز از طریق فایل های Shadow Volume Copy میسر است. در این صورت اگر بکاپ مشخصی ندارید. سعی کنید از طریق بازیابی فایل های رمزنگاری شده از Shadow Volume Copies اقدام کنید.

چگونه در برابر باج افزاران در امان باشیم

برای اینکه از سیستم خود در برابر هرگونه باج افزاری در امان باشید میبایست در وهله ی اول از نرم افزار های امنیتی و آنتی ویروس ها استفاده کنید. آنتی ویروس بیت دیفندر در مبحث آنتی ویروس سازمانی و آنتی ویروس خانگی جزو راهکار های امنیتی شماره 1 میباشد. پس از این، مجموعه ی شما میبایست یک بکاپ قابل اتکا و با کیفیت از اطلاعات خود داشته باشید که روز به روز آپدیت و به روز رسانی شود تا در صورت حمله ی باج افزاران قابل استفاده باشد چرا که در صورت آلودگی تنها راه نجات شماست.

در آخر و اما مهمترین، شما میبایست نکات و جزییات امنیتی را رعایت کنید:

  • بکاپ، بکاپ، بکاپ!!!
  • فایل های ضمیمه شده ی ناشناس را باز نکنید
  • فایل های ضمیمه شده را با راهکار امنیتی خود اسکن کنید.
  • از نصب و دریافت تمامی به روز رسانی های ویندوز خود در تاریخ عرضه ی آنان مطمئن باشید! همچنین از به روز رسانی نرم افزار های ضروری چون Java , Flash و Adobe Reader اطمینان حاصل فرمایید. نرم افزار های قدیمی دارای نقص و رخنه های امنیتی بسیاری هستند که توسط هکران و مهاجمان قابل بهره جویی هستند، در این صورت به روز رسانی آنان نیز حائز اهمیت است.
  • از نصب یک راهکار امنیتی قوی و قابل اطمینان غافل نشوید. آنتی ویروس بیت دیفندر امکان فراهم نمودن سطوح مختلف امنیت برای هرگونه پلتفرم را دارد.
  • از گذر واژه های دشوار برای حساب های خود استفاده کنید و از یک رمز عبور برای همه ی آنان استفاده نکنید.