باجافزار Locky یک برنامه نرمافزاری مخرب است که به دلیل تأثیر مخرب خود بر سیستمها و شبکههای رایانهای در سرتاسر جهان به شهرت رسیده است. این نوع باجافزار برای رمزگذاری فایلهای قربانی و درخواست باج، معمولاً در ارزهای دیجیتال مانند بیتکوین، در ازای دریافت کلید رمزگشایی برای دسترسی مجدد به دادهها، طراحی شده است. Locky که اولین بار در اوایل سال 2016 ظاهر شد، به سرعت به یکی از رایج ترین و خطرناک ترین تهدیدات باج افزار تا به امروز تبدیل شد.
تاریخچه پیدایش باج افزار Locky و اولین اشاره به آن
Locky برای اولین بار در فوریه 2016 در طبیعت مشاهده شد. عمدتاً از طریق ضمیمههای ایمیل مخربی که به عنوان اسنادی با ظاهری بیگناه مانند فایلهای Word یا PDF پنهان شده بودند، منتشر شد. هنگامی که کاربر ناآگاه فایل پیوست را باز می کند، بدافزار به سیستم نفوذ می کند و شروع به رمزگذاری فایل ها می کند و آنها را غیرقابل دسترس می کند. سپس یادداشتهای باج به قربانیان ارائه شد که حاوی دستورالعملهایی در مورد نحوه پرداخت باج و دسترسی مجدد به پروندههایشان بود.
اطلاعات دقیق در مورد باج افزار Locky. گسترش موضوع باج افزار Locky
Locky یک بدافزار پیچیده است که از الگوریتمهای رمزگذاری قوی برای قفل کردن قربانیان از فایلهایشان استفاده میکند. فرآیند رمزگذاری مورد استفاده توسط Locky نامتقارن است، جایی که یک کلید عمومی منحصر به فرد برای رمزگذاری فایل ها استفاده می شود و تنها کلید خصوصی مربوطه که توسط مهاجمان نگهداری می شود می تواند آنها را رمزگشایی کند. این باعث میشود که قربانیان نتوانند اطلاعات خود را بدون کلید رمزگشایی بازیابی کنند.
تقاضاهای باج لاکی در طول زمان متفاوت بوده و مبالغ آن از صدها تا هزاران دلار متغیر است. علاوه بر این، یادداشتهای باج معمولاً شامل مهلتی برای تحت فشار قرار دادن قربانیان برای پرداخت سریع، تهدید به افزایش مبلغ باج یا حذف دائمی کلید رمزگشایی در صورت از دست دادن مهلت است.
ساختار داخلی باج افزار Locky. نحوه عملکرد باج افزار Locky
باج افزار Locky در چند مرحله عمل می کند. هنگامی که پیوست آلوده باز می شود، ماکروها یا اسکریپت ها را برای دانلود بارگیری Locky از یک سرور راه دور مستقر می کند. پس از بارگیری و اجرا، Locky با استفاده از الگوریتمهای رمزگذاری RSA-2048 و AES شروع به رمزگذاری فایلها در سیستم محلی و اشتراکهای شبکه میکند. فایل های رمزگذاری شده پسوندهایی مانند ".locky"، ".zepto" یا ".odin" را دریافت می کنند.
در طول فرآیند رمزگذاری، Locky شناسههای منحصربهفردی برای هر دستگاه آلوده ایجاد میکند که ردیابی و ردیابی گسترش بدافزار را دشوار میکند. پس از تکمیل رمزگذاری، یادداشت باج تولید و در سیستم ذخیره می شود و به قربانی آموزش می دهد که چگونه باج را پرداخت کند.
تجزیه و تحلیل ویژگی های کلیدی باج افزار Locky
Locky به دلیل چندین ویژگی کلیدی که به تأثیر گسترده آن کمک کرده است متمایز است:
-
تحویل مبتنی بر ایمیل: Locky عمدتاً از طریق ایمیلهای هرزنامه مخرب حاوی پیوستها یا پیوندهای آلوده برای دانلود بدافزار پخش میشود.
-
رمزگذاری قوی: این بدافزار از الگوریتمهای رمزگذاری قوی مانند RSA-2048 و AES استفاده میکند که رمزگشایی فایلها بدون کلید باج را به چالش میکشد.
-
تکامل و انواع: Locky تکرارها و انواع مختلفی را دیده است که با اقدامات امنیتی سازگار شده و برای جلوگیری از شناسایی تکامل یافته است.
-
پرداخت باج در ارزهای دیجیتال: مهاجمان برای حفظ ناشناس بودن، پرداخت باج را در ارزهای رمزنگاری شده مانند بیت کوین درخواست می کنند و ردیابی جریان پول را دشوارتر می کند.
انواع باج افزار Locky
لاکی در طول عمر خود چندین گونه داشته است. در زیر لیستی از انواع قابل توجه Locky به همراه ویژگی های متمایز آنها آورده شده است:
نام متغیر | افزونه | ویژگی های کلیدی |
---|---|---|
لاکی | .قفلی | نوع اصلی که موج باج افزار را آغاز کرد |
زپتو | .zepto | نسخه بهبود یافته با تغییرات جزئی |
اودین | .odin | تمرکز بر هدف گذاری و رمزگذاری اشتراک های شبکه |
ثور | ثور | از قالب یادداشت باج متفاوتی استفاده کرد |
به عنوان یک فرد یا سازمان، استفاده از باج افزار Locky برای هر هدفی بسیار غیرقانونی و غیراخلاقی است. درگیر شدن در فعالیتهای باجافزار میتواند منجر به عواقب قانونی شدید، خسارات مالی قابل توجه و آسیب به اعتبار یک شخص یا شرکت شود.
موثرترین راه برای محافظت در برابر باجافزار Locky و سایر تهدیدات مشابه، اجرای اقدامات امنیتی سایبری قوی است. این اقدامات عبارتند از:
-
پشتیبان گیری معمولی: پشتیبان گیری مکرر از داده های حیاتی و ذخیره آنها به صورت آفلاین برای اطمینان از بازیابی اطلاعات در صورت حمله.
-
امنیت ایمیل: فیلترینگ پیشرفته ایمیل را اجرا کنید و به کاربران آموزش دهید تا پیوستها یا پیوندهای ایمیل مشکوک را تشخیص دهند و از آن اجتناب کنند.
-
آنتی ویروس و محافظت از نقطه پایانی: نرم افزار آنتی ویروس قابل اعتماد و ابزارهای محافظت از نقطه پایانی را برای شناسایی و جلوگیری از عفونت های باج افزار مستقر کنید.
-
بروز رسانی نرم افزار: تمامی نرم افزارها و سیستم عامل ها را به روز نگه دارید تا آسیب پذیری هایی را که باج افزار ممکن است از آنها سوء استفاده کند اصلاح کنید.
مشخصات اصلی و سایر مقایسه ها با اصطلاحات مشابه در قالب جداول و فهرست
در اینجا جدول مقایسه ای وجود دارد که تفاوت های کلیدی بین باج افزار Locky و دیگر گونه های باج افزار معروف را نشان می دهد:
باج افزار | توزیع | الگوریتم رمزگذاری | ویژگی های قابل توجه |
---|---|---|---|
لاکی | پیوست های ایمیل | RSA-2048، AES | توزیع انبوه از طریق ایمیل های اسپم |
می خواهی گریه کنی | بهره برداری می کند | RSA-2048، AES | رفتار کرم مانند، مراقبت های بهداشتی هدفمند |
CryptoLocker | دانلودهای درایو | RSA-2048، AES | اولین باج افزار گسترده در سال 2013 |
Petya/NotPetya | ایمیل، اکسپلویت | رمزگذاری MBR | حمله مبتنی بر MBR، در سال 2017 اوکراین را هدف گرفت |
با پیشرفت فناوری، تاکتیک های مجرمان سایبری نیز تغییر می کند. باج افزارهایی مانند Locky احتمالاً به سازگاری و یافتن روش های جدید عفونت ادامه می دهند. برخی از روندهای آینده مرتبط با باج افزار ممکن است شامل موارد زیر باشد:
-
باج افزار تقویت شده با هوش مصنوعی: مجرمان سایبری ممکن است از هوش مصنوعی و یادگیری ماشینی استفاده کنند تا حملات باجافزاری پیچیدهتر و شناسایی آنها سختتر شود.
-
حملات هدفمند: مهاجمان باجافزار ممکن است بر صنایع یا سازمانهای خاصی تمرکز کنند تا بر اساس توانایی قربانی در پرداخت، باجهای بزرگتری درخواست کنند.
-
بهره برداری های روز صفر: مهاجمان ممکن است از آسیبپذیریهای ناشناخته قبلی برای ارائه باجافزار و فرار از اقدامات امنیتی سنتی سوء استفاده کنند.
چگونه می توان از سرورهای پروکسی استفاده کرد یا با باج افزار Locky مرتبط شد
سرورهای پروکسی می توانند هم ابزاری برای توزیع باج افزار و هم دفاعی در برابر آن باشند. مجرمان سایبری ممکن است از سرورهای پروکسی برای مخفی کردن هویت خود در هنگام تحویل Locky از طریق ایمیلهای هرزنامه یا دانلودهای درایو استفاده کنند. از سوی دیگر، سرورهای پروکسی که به عنوان بخشی از زیرساخت امنیتی یک سازمان استفاده میشوند، میتوانند با فیلتر کردن ترافیک مخرب و شناسایی الگوهای مشکوک، محافظت در برابر باجافزار را افزایش دهند.
لینک های مربوطه
برای اطلاعات بیشتر در مورد باج افزار Locky و پیشگیری از باج افزار، لطفاً به منابع زیر مراجعه کنید:
- پیشگیری و پاسخ باج افزار US-CERT
- مرکز منابع باج افزار آزمایشگاه کسپرسکی
- توضیحات باج افزار Symantec Locky
به یاد داشته باشید، آگاه ماندن و اجرای اقدامات امنیت سایبری قوی برای محافظت در برابر تهدیدات در حال تکامل مانند باج افزار Locky ضروری است.