كل ما تريد معرفته عن فايروس CTB Locker المرعب!

CTB Locker (المعروف أيضاُ بـ Critroni) هو عبارة عن تروجان Trojan من نوع Ransomware، وهو برمجية تقوم بتشفير كل البيانات داخل جهاز المستخدم بما فيها من ملفات النصوص والصور وتطلب مبلغ مالي كفدية لفك تشفير هذه الملفات.

يقصد بـ CTB ما يلي:

Curve : تأتي من خصائص التشفير الذي يعتمد على المنحنيات الإهليلجية .

TOR : شبكة الإتصال الآمن لضمان عدم معرفة الشخص الذي يتحكم بالفايروس. (لقراءة مقالنا السابق عن TOR : هنا)

Bitcoins : طريقة دفع الفدية عن طريق Bitcoins وليس عن طريق أنظمة الدفع العادية كي لا يتم ملاحقة المجرمين.

(لقراءة مقالنا السابق عن Bitcoins: هنا )

وهو يستهدف كل نسخ الويندوز بما فيها Windows XP، Vista، 7 ،8 . ومثل بقية البرمجيات الخبيثة، تستمر وسائل الإعلام بربط هذا النوع من الإصابات مع CryptoLocker، في حين يبدو أنه قد تم تطويرها من قبل مجموعة مختلفة بإستخدام تقنيات حديثة مثل استخدام المنحني الأهليلجي في التشفير، وتواصل البرمجية الخبيثة مع خادم التحكم والعمليات من خلال TOR. وقد تم إكتشاف أن هذه البرمجية الخبيثة يتم بيعها على الإنترنت مقابل 3000$ ويشمل هذا السعر الدعم اللازم لتحميل هذه البرمجية وتشغيلها، لذلك من المتوقع انتشار أنواع أخرى من هذه البرمجيات الخبيثة ولكن بواجهات مختلفة.

كيف ينتشر هذا التروجان؟ ينتشر من خلال البريد الإلكتروني، حيث تصل رسالة الى الضحية وتطلب منه تحميل ملف ملحق لاحقته .zip

عند إصابة الجهاز للمرة الأولى بـ CTB Locker، تقوم هذه البرمجية بالبحث في الكمبيوتر عن كل ملفات البيانات ومن ثم تقوم بتشفيرها بالتالي لا تعود في متناول المستخدم. وبعد أن تتم إصابة الجهاز كاملاً يظهر لدى المستخدم ما يُعرف بشاشة الفدية، وهي عبارة عن نافذة تخبر المستخدم أن بياناته قد تم تشفيرها وتطلب منه إتباع التعليمات التي سترشده الى كيفية دفع الفدية والتي تقدر بـ 100$ .

عندما تتم إصابة جهاز ما، فإن البرمجية الخبيثة تخزن نفسها في المجلد %temp% كملف تنفيدي باسم عشوائي، ومن ثم تقوم بإنشاء مهمة مخفية بإسم عشوائي أيضاُ في جدول المهام والتي تقوم بإطلاق هذه البرمجية في كل مرة يتم تشغيل الجهاز فيها. وعند الإصابة يتم فحص محركات الاقراص في الكمبيوتر بما فيها الأقراص الصلبة والقابلة للإزالة وأي قرص أو ملف مشارك عبر شبكة ما بحثاً عن ملفات البيانات ليتم تشفيرها.

وعندما يجد CTB Locker أي ملف بيانات يقوم بتشفيره بإستخدام تشفير المنحني الأهليلجي وهو نوع فريد في هذه البرمجية الخبيثة. وعند إتمام تشفير كل الملفات يتم عرض شاشة الفدية للمستخدم، كما ويتم تغيير خلفية سطح المكتب الخاصة بالمستخدم الى الملف ذو المسار التالي : %MyDocuments%\AllFilesAreLocked.bmp، وهي عبارة عن صورة تذكر المستخدم بدفع الفدية كما تحتوي على تعليمات اضافية عن كيفية الدفع، كما يمكن إيجاد هذه المعلومات في الملف الذي تقوم البرمجية بإنشاءه في المسار %MyDocuments%\DecryptAllFiles.txt والمسار %MyDocuments%\.html .

من السمات غير الشائعة أيضاً في هذه الإصابة أنها تقوم بالإتصال مع مخدمات مركز القيادة والتحكم الخاص بها مباشرة عبر TOR وليس من خلال الإنترنت مما يجعل عملية تعقب موقع هذه المخدمات صعبة جداً.

أخيراً وليس آخراً، في كل عملية إعادة إقلاع للجهاز تقوم هذه البرمجية الخبيثة بإعادة نسخ نفسها الى ملف %temp% ولكن تحت اسم جديد، كما تقوم بإنشاء مهمة جديدة في جدول المهام، لذلك من غير المستغرب أن تجد المستخدم أكثر من نسخة من نفس الملف التنفيذي ولكن بأسماء مختلفة في المجلد %temp% .

في النسخ القديمة من CTB Locker كانت لاحقة الملفات المشفرة تتغير إلى .CTB أو .CTB2 ولكن النسخ الحديثة أصبحت تستخدم لاحقة عشوائية مثل .ftelhdd أو .ztswgmc . ببساطة هذه هي ملفات المستخدم القديمة بعد أن تم تشفيرها، وفي حال حاول المستخدم فتح أي ملف منها باستخدام برنامج محدد (برنامج word مثلاً)، سيعطي البرنامج تنبيهاً أن الملف معطوب أو قد يقوم بفتحه وعرض بيانات مشوهة للمستخدم، والطريقة الوحيدة لاستعادة هذه الملفات بحيث تظهر المعلومات الأصلية والصحيحة هي دفع الفدية وفك تشفير المعلومات. وبالإمكان إيجاد قائمة بالملفات المشفرة من خلال الملفين الموجودين بالمسار: %MyDocuments%\.html أو %C:\Users\All Users\.html .

ماذا يجب أن تفعل إذا اكتشفت أن جهازك قد أصيب بـ CTB Locker؟

عند اكتشاف الإصابة ، يجب القيام فوراً بفحص الجهاز باستخدام مكافح فيروسات أو أحد مكافحات البرامج الخبيثة anti-malware . لسوء الحظ فإن معظم المستخدمين لا يدركون أن CTB Locker على أجهزتهم إلا بعد أن يتم تشفير الملفات وظهور الرسالة التي تطلب الفدية. لكن هذا لا يعني عدم الحاجة للبحث عن الفايروس وإزالته، فعلى الأقل عند إزالته يضمن المستخدم عدم إطلاق البرمجية عند كل عملية ولوج الى الحاسب وبالتالي قد يضمن عدم تشفير ملفاته التي لا تزال سليمة.

لإزالة الإصابة بشكل يدوي، على المستخدم إزالة أي ملف تنفيذي من المجلد %Temp% ومن ثم مسح أي مهام مخفية في جدول مهام ويندوز. هذه العملية قد تزيل الإصابة ولكن لا تؤدي الى إسترجاع الملفات المشفرة.

أحد أنواع Critroni الحديثة توفر للمستخدم قابلية فك تشفير خمسة ملفات كدليل أن مطور هذه البرمجية الخبيثة يستطيع فك تشفير الملفات. في الشاشة الرئيسية لفك التشفير التي تظهر على سطح المكتب عند الإصابة، يختار المستخدم (التالي) next ومن ثم (بحث) search ليقوم الفيروس بالبحث عن خمسة ملفات بشكل عشوائي وفك تشفيرها مجاناً لإثبات أن دفع الفدية سيمكن المستخدم من إستعادة كافة الملفات.

ماذا يحدث إذا لم يتم دفع الفدية في الوقت المناسب؟

عندما تتم الإصابة وتشفير كل الملفات، يقوم الفيروس بإخبار المستخدم أن لديه 96 ساعة لدفع الفدية وإلا سيخسر ملفاته للأبد. بكل بساطة هدف هذا الإجراء إخافة المستخدم، حيث يمكنه دفع الفدية حتى بعد إنقضاء هذه المهلة ولكن سيضطر لدفعها عن طريق موقع TOR الخاص بهم. عند وصول المؤقت إلى 0 سيظهر للمستخدم أن وقته انتهى وسيتم تزويدة بمعلومات عن كيفية دفع الفدية.

عند ضغط زر الخروج (exit) سيتم إغلاق الشاشة وحذف البرمجية الخبيثة، وعند هذه النقطة بالامكان الرجوع الى الملف DecryptAllFiles.txt الموجود في المجلد Documents وإتباع التعليمات لدفع الفدية عن طريق الموقع.

لسوء الحظ حتى هذه اللحظة لا يوجد أي طريقة للحصول على المفتاح الخاص لفك التشفير والذي يمكن إستخدامه لفك تشفير ملفات البيانات دون دفع الفدية. إن استخدام هجوم Brute-force من أجل فك التشفير (في هذا الهجوم يتم تجربة كل المفاتيح المحتملة لفك التشفير) غير منطقي نظراً لعدد المفاتيح الكبير بالتالي طول الزمن اللازم لكسر هذا النوع من التشفير.

هناك بعض الخطوات الإحتياطية الممكنة من أجل استعادة الملفات المشفرة في حال عدم الرغبة في دفع الفدية، ومنها:

الطريقة الأولى هي النسخ الاحتياطية Backups وهي الطريقة الأمثل لاستعادة الملفات من آخر نسخة احتياطية قمنا بها. أي أن هذه العملية تتطلب القيام بعملية النسخ الإحتياطي قبل إصابة الحاسوب بأي فيروس ومن ثم استعادة الملفات في حال الإصابة.

الطريقة الثانية هي برامج استعادة الملفات، فقد تبين إن طريقة عمل الفايروس يقوم في البداية بنسخ أي ملف يريد تشفيره، ويقوم بتشفير النسخة ومن ثم يحذف الأصل. بالتالي وباستخدام أحد برامج استعادة الملفات مثل R-Studio أو Photorec يمكن استعادة بعض الملفات الأصلية أو كلها.

الطريقة الثالثة هي Shadow Volume Copies وهي عبارة عن تقنية تقدمها ويندوز وتتيح للمستخدم إمكانية نسخ احتياطي يدوي أو تلقائي لوحدة التخزين. لسوء الحظ إن الفايروس يستهدف ويحذف أي نسخة لوحدة التخزين لكنه أحياناً يفشل لذلك يمكن المحاولة فقد نستطيع استعادة بعض ملفاتنا.

وإذا رغبت بدفع الفدية فلا بأس... لكن ما من ضمان أن مفتاح فك التشفير سوف يصل إليك...

المصدر :

هنا