ویروس « لاکی » در دستهبندی نرمافزارهای «باج افزار» یا بصورت تخصصیتر در دسته بندی ویروسهای «باج گیر» قرار میگیرد. این دسته از ویروسها به روشهای گوناگون مانع کار عادی سیستم کامپیوتر میگردند و به سرعت تقاضای مبلغی پول بعنوان باج مینمایند. معمولاً ویروسهای باج گیر کارایی کامپیوتر را کاملاً مختل مینمایند یا اطلاعات آنرا غیر قابل دسترسی میکنند به نحوی که هیچ کار مفیدی نتوان با آن انجام داد. در صورتی که قربانی مبلغ باج را بپردازد ویروس سیستم را به حالت عادی بر میگرداند و خودش را پاک میکند اما اگر قربانی حاضر به پرداخت مبلغ باج نباشد باید از خیر تمامی اطلاعات خود بگذرد و با پاک کردن تمامی اطلاعات هارد دیسک و نصب مجدد سیستم عامل کامپیوتر را به حالت عادی برگرداند.
نحوه نفوذ لاکی
لاکی توسط ۱-ایمیل و ۲-فایل پیوست شده به ایمیل منتقل میشود، بویژه پیوستی که از نوع فایل ورد (word) باشد. این فایل ورد شامل یک ماکرو است که به محض اجرا شدن «ویروس باج گیر» اصلی را از اینترنت دانلود میکند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیلهای تبلیغاتی یا با آدرس ناآشنا بپرهیزید. در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نمودهاند که ایمیلی با عنوان مُعین را باز نمودهاند و بعد از آن دچار مشکل شدهاند بطور کلی در بیشتر موارد ایمیلهای تبلیغاتی و با آدرسهای ناآشنا بودهاند. بطور دقیقتر به محض اجرا شدن فایل ورد، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی میسازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript از اینترنت گرفته و اجرا میکند.
نحوه خرابکاری ویروس لاکی
این ویروس به محض آلوده شدن کامپیوتر شروع به دستکاری اطلاعات فایلهای شما میکند. هدف اصلی این ویروس رمزگذاری اطلاعات مهم فایلهای کامپیوتر است. از آنجایی که بیشتر فایلهای مهم کاربران متنهای نوشته شده با برنامههای آفیس، فیلمها، عکسها و تصاویر شخصی میباشند این ویروس با رمزکردن اطلاعات داخل آنها مانع دسترسی عادی به آنها میشود. برخی از فایلهای معروف متنی، تصویری و صوتی که توسط ویروس لاکی مورد حمله قرار میگیرند عبارتند از:
.doc, .docx, RTF, .pdf, .XLS, .PPT, .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
توجه داشته باشید که ویروس لاکی فقط به فایلهای درایو C شما بسنده نمیکند بلکه تمام فایلهای موجود در درایوهای کامپیوتر شما را حتی حافظههای فلش و هارددیسکهای اکسترنال متصل به آنرا نیز رمز میکند.
بعد از رمزگذاری پسوند فایلها به locky. تغییر مییابد البته این ویروس نام فایلها را نیز عوض میکند که باعث سختتر شدن کار با فایلها میشود. رمزنگاری مورد استفاده این ویروس ترکیبی از دو رمزنگاری بسیار پیچیده RSA و AES-128 میباشد که هر دو واقعاً از رمزنگاریهای قوی هستند. در حال حاضر امکان شکستن سریع این نوع رمزنگاری بدون داشتن کلید رمز میسر نیست.
بعد از اتمام رمزگذاری نوبت درخواست پرداخت باج است. این ویروس مبلغی بین ۲۰۰ تا ۴۰۰ دلار بصورت بیتکوین درخواست میکند تا کلید رمز و برنامه بازگرداننده اطلاعات بصورت اول آنرا در اختیارتان قرار دهد. بیتکوین یک نوع پول الکترونیکی است و از آنجایی که امکان ردیابی آن سخت است در بین هکرها بسیار محبوب است.
بهتر است بدانید ویروس لاکی حتی فایلهای VSS (Volume Snapshot Service) که به عنوان فایل های shadow copies نیز معروف هستند را به طور کامل حذف می کند. Shadow copies روشی است که ویندوز به صورت پنهانی و بدون اینکه در فعالیتهای کاربر خللی ایجاد شود، از درایوهای مشخص شده snapshot تهیه می کند.
نحوه انتشار ویروس لاکی در شبکه
باج افزار « لاکی » حمله خود را از یک کامپیوتر آلوده دارای سیستم عامل ویندوز شروع میکند و به تدریج به دیگر سیستمهای قابل دسترس در شبکه گسترش مییابد. گرچه حمله از سیستم عامل ویندوز شروع میشود اما این ویروس قابلیت آلوده کردن دیگر سیستم عاملها نظیر لینوکس و OS X اپل را نیز دارد.
نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروسها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتیویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیلهای تبلیغاتی یا ایمیلهای با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامههای آفیس، نظیر ورد و اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه میکنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی اولاً بتوانید فایلهای خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز AES-128 داشته باشد.
منبع « antivirus.ir »