گروهی از تولیدکنندگان بدافزار، برنامه گروگانگیر جدیدی را آماده کردند که فایلها را بر روی رایانههای آلوده شده رمزگذاری می کند و از قربانی میخواهد برای دسترسی به این فایلها مبلغی را پرداخت کند.
این بدافزار جدید را PowerLocker نامگذاری کردند و ایده آن از تروجان گروگان گیر موفق CryptoLocker که از ماه سپتامبر حدود 250000 رایانه را آلوده کرد، الهام گرفته شده است.
این بدافزار همانند بدافزار CryptoLocker از یک روش رمگذاری قوی استفاه میکند که بدون پرداخت پول نمیتوان به فایلها دسترسی یافت. هم چنین از آن جا که تولیدکندگان آن اعلام کردند که قصد دارند این بدافزار گروگان گیر را به مجرمان سایبری بفروشند، این بدافزار بسیار پیچیده و به طور بالقوه بسیار خطرناک است.
با توجه به یافتههای یک تولیدکننده بدافزار که با شناسه آنلاین “gyx” شناسایی می شود، بدافزار PowerLocker شامل یک فایل واحد است که در فولدر موقت ویندوز قرار میگیرد.
زمانی که برای اولین بار بر روی رایانهای اجرا شود، تمامی فایلهای کاربر را که بر روی درایوهای داخلی و فایلهایی که در شبکه به اشتراک گذاشته است به استثنای فایلهای اجرایی و سیستمی، رمزگذاری می کند.
هر فایل با یک الگوریتم Blowfish و یک کلید واحد رمز میشود سپس این کلیدها با کلید RSA 2048 بیتی رمز می شود. در واقع رایانه کاربر کلید عمومی را دارد اما کلید خصوصی متناظر با آن که برای بازگشایی رمز نیاز است را در اختیار ندارد.
بنا بر اعلام مرکز ماهر، امروزه تمامی بدافزارها از طریق سوء استفاده از آسیبپذیریهای موجود در برنامههای محبوبی مانند جاوا، فلش پلیر و … توزیع میشوند در نتیجه برای اجتناب از آلوده شدن به هرگونه بدافزاری، به روز نگه داشتن تمامی برنامههای کاربردی اهمیت بسزایی دارد.
هم چنین تهیه نسخه پشتیبان از دادههای موجود برروی رایانهها یک ضرورت است و در صورت آلوده شدن به این بدافزار میتوان بدون پراخت وجهی فایلهای مورد نظر را برگرداند.
باید توجه داشت که نسخه پشتیبان نباید برروی همان رایانه یا فایلهای مربوط به اشتراک گذاری شبکه قرار داشته باشد زیرا این بدافزار می تواند تمامی نسخههای پشتیبان را نیز تحت تاثیر قرار داده و تخریب کند.
منبع : ايسنا
