CTB Locker 1

 CTB Locker نسل جدیدی از ویروس‌های کامپیوتری می‌باشد که در حوزه IT راه مقابله با آن پیشگیری از آن می‌باشد. این برنامه باج افزار، باعث می‌شود فایلهای قربانی‌ها برای انجام اخاذی آلوده شوند. این نمونه خاص باج افزار ویژگی‌های نمونه های قبلی از جمله CryptoLocker و CryptoWall را دارد علاوه بر آن کاربرانی که آلوده به این ویروس شده‌اند نمی‌توانند فایلهای اصلی خود را بازیابی کنند.

   نویسنده‌های این باج‌افزار برای تکثیر از اسباب کار مورد نیاز کاربران استفاده می‌کند. نرم‌افزار PDF و آسیب‌پذیری‌های Java در سیستم‌های کامپیوتری از فاکتور‌های اصلی هستند که موجب گسترش ویروس می‌شوند. این ویژگی ویروس باعث می‌شود که آلودگی صورت گرفته نامحسوس شود.کاربر زمانی از این bug مطلع می‌شود که تصویر پشت زمینه به تصویری که در زیر مشاهده می‌کنید تغییر یابد.

تصویر با نام AllFilesAreLocked با فرمت .bmp در پوشه My Document ذخیزه شده است.

 CTB Locker چگونه فایل‌های قربانیان را رمز گذاری می‌کند؟

  این بدافزار با استفاده از باج‌افزار، کلیه درایوها (حتی فلش یا هارد خارجی یا هر وسیله دارای حافظه) را جستجو کرده و فایلهایی که دارای فرمت پرکاربرد و شناخته شده می‌باشند را می‌یابد.

   ممکن است کاربر در ابتدا فکر کند که ویروس فرمت فایلها را تغییر می‌دهد ولی آنچه در حقیقت رخ می‌دهد چیزی کاملا پیچیده می‌باشد. ورژن‌های اصلی فایل پاک می‌شود ‌و کپی آنها رمزگذاری می‌شود. ابزار رمزگشایی (ابزار key و decryptor) برای هر کامپیوتر آلوده منحصر به فرد بوده و در یک سرورremote ذخیره شده است که تنها از طریق Tor قابل دستیابی است. کاربر نیاز به نصب Tor Browser Bundle برای رمزگشایی دارد، که به موجب آن کسانی که این کار را انجام می‌دهند گمنام می‌مانند.

   باج خواسته شده باید ظرف ۹۶ ساعت ارائه شود (در انواع قبلی ۷۲ ساعت بود). هزینه ۲٫۰ بیت کوین می‌باشد. جالب اینجاست که ‌بدافزار دارای سرویسی می‌باشد که ارزهای دیگر را به BTC تبدیل می‌کند.

   همچنین،‌ برای نمایش نحوه کارکرد‌CTB Locker ، باج افزار ۵ فایل را به صورت رندوم رمزگشایی می‌کند. روال کاری باج‌افزار شبیه حملات سایبری می‌باشد که این روزها بسیار رواج پیدا کرده است.

   خلاصی از CTB Locker به تنهایی سخت نیست، اما چیزی که کار را دشوار می‌کند یافتن رمز جهت بازیابی اطلاعات می‌باشد. روش‌های کنونی شناخته شده برای رمزگشایی کارآمد نیستند، چرا که باج افزار از الگوریتمی بسیار قوی جهت رمز گذاری فایل‌ها استفاده می‌کند.

   باید به عرض شما برسانیم که در این مطلب روش ‌هایی ارائه شده است که بدون پرداخت باج می‌توانید فایل‌های مهم خود را بازیابی کنید، لذا قبل از انجام هرکاری لطفا راهنمای زیر را مطالعه فرمایید.

رفع باج‌افزار CTB Locker با استفاده از ابزار cleanup:

   توجه: حذف CTB Locker به تنهایی سخت نیست. در واقع، پس از رمز گذاری ویروس خود را نابود می‌کند و قربانی را با گزینه پرداخت باج روبرو می‌سازد.

در هر صورت، باج‌افزار باید از کامپیوتر شما حذف شود، چرا که امکان انجام حملات سایبری دیگر وجود دارد.

   یک روش حذف بهینه، استفاده از یک برنامه امنیتی است که تمام نرم افزارهای مخرب بر روی کامپیوتر را کشف کرده و آن را به مکانی مناسب منتقل می‌کند.

   این روش نظم و دقت، رفع مشکل و بازسازی سیستم را تضمین می‌کند و از خسارت‌هایی که ممکن است در حین حذف دستی بدافزار رخ دهد جلوگیری می‌کند.

  1. نرم افزارحذف CTB Locker را دانلود و نصب کنید. آن را اجرا کرده و بر روی دکمه Start New Scan کلیک نمایید، صبر کنید تا برنامه، کامپیوتر شما را اسکن کند.  
  1. زمانی که کار اسکن سیستم شما به پایان رسید، لیستی از موارد کشف شده را مشاهده خواهید کرد. بر روی گزینه Fix Threats به منظور حذف کامل این باج‌افزار، کلیک کنید. 

روش‌های دیگر برای بازیابی فایل‌های رمزگذاری شده:

  با توجه به اینکه CTB Locker بدافزاری کاملا پیچیده و مرموز است، هیچ تضمینی وجود ندارد که بتوان فایل‌ ها را بدون پرداخت باج بازگردانی کرد، با این حال روش‌های زیر را امتحان کنید:

  1. Backup گیری از دادها 

  اگر شما از اطلاعات خود backup گرفته‌اید تنها کاری که لازم است انجام دهید بازگردانی آنها است. این سناریو در بهترین شرایط ممکن است رخ دهد ولی همه افراد ممکن است backup از اطلاعات خود نداشته باشند. 

  1. CopiesShadow Volume 

  CTB Locker تمایل به حذف تمام Shadow Volume Copies روی محیط کاری به خطر افتاده دارد، ممکن است این کار باعث مقابله و بازگردانی اطلاعات نشود. در این صورت با این روش باید بسیار خوش شانس باشید تا بتوانید اطلاعات را بازگردانی کنید. توجه کنید که این روش تنها زمانی‌قابل استفاده است که System Restore کامپیوتر را قبل از ویروسی شدن فعال کرده باشید. همچنین، فایل‌هایی که بازگردانی می‌کنید لزوما آخرین ورژن نیستند. یکی از روش‌های زیر را انجام دهید:

امکان استفاده از ورژن قبلی:

  اگر شما به صورت دلخواه بر روی یکی از فایل‌های کامپیوتر خود راست کلیک کرده و گزینه Propreties را انتخاب کنید، در بالای پنجره باز شده می توانید تب Previous Versions را مشاهده کنید. در این تب می‌توانید لیستی از ورژن‌های مربوط به نقاط بازگشتی فایل را مشاهده کنید. آخرین ورژن را انتخاب کرده و روی دکمه Copy کلیک کنید و مکان جدید را وارد نمایید، با انتخاب دکمه Restore عملیات بازگردانی روی خود فایل صورت می‌گیرد.

CTB Locker 2

برنامه Use ShadowExplorer:

   روال کاری بیان شده را می‌توان با استفاده از ابزاری که مخصوص بازگردانی Shadow Volume Copies فایل‌ها و پوشه‌ها می‌باشد، انجام داد. برای انجام این کار ShadowExplorer را دانلود، نصب و اجرا نمایید. نام درایو و تاریخ بازگردانی را از سمت چپ برنامه انتخاب کنید و بر روی فایل یا پوشه راست کلیک کرده و گزینه Export را جهت بازگردانی، کلیک نمایید.

  1. ابزار بازگردانی فایل

  همانطور که در بالا نیز توضیح داده شد،‌ باج‌افزار داده‌های اصلی را حذف کرده و کپی آنها را کدگذاری می‌کند. همانطور که همه در جریان هستند Windows آیتم های حذف شده را هنوز ذخیره دارد پس چرا از نرم افزار‌های recovery مخصوص بازگردانی اطلاعات استفاده نکنیم؟ برنامه مخصوص recovery را اجرا کرده و داده‌های حذف شده خود را بازگردانی کنید.CTB Locker 3  حذف CTB Locker از یک سیستم قربانی به این معنی نیست که قفل گشایی صورت گرفته و دیگر خطری وجود ندارد بلکه با توجه به اینکه باج افزار خطرناک است، باید به طور کلی نابود شود که برای اطمینان از اینکه CTB Locker به طور کامل حذف شده‌ است نرم افزار حذف CTB را دانلود و اجرا نمایید.