کمیته رکن چهارم – Click Me نام باجافزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و بهصورت پنهان فایلها را رمز میکند و پس از آن برای دسترسی به فایلها تقاضای باج میکند.
به گزارش کمیته رکن چهارم،البته این باجافزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد؛ اما ممکن است در آینده خطرهای جدیتری را برای قربانیان ایجاد کند.
شرح خبر
بازی ClickMe یک باجافزار ایرانی بوده که به تازگی شناخته شده است. این باجافزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایلهای سیستم قربانی میپردازد.
صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار میشود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده میشود. این صفحه از کاربر تقاضای پرداخت پول میکند تا پسورد فایلهای رمز شده سیستم قربانی را در اختیار وی قرار دهد. البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باجافزار این صفحه تکمیل شود
این باجافزار به فایلهایی که رمز میکند، پسوند “hacked” را اضافه میکند. الگوریتم رمز مورد استفاده این باجافزار AES با طول کلید ۲۵۶ بیت است. این برنامه توانایی آسیب رساندن به فایلهای متنی، چندرسانهای و آفیس را دارد. فایلهای دارای پسوند زیر در معرض آسیب از طرف این باجافزار هستند.
.۳GP, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .JAVA, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DXF, .DWG, .DRW, .CASB, .CCP.
بررسی بدافزار فوق نشان داده که این باجافزار در حال توسعه است و در حال حاضر تنها یک فایل به نام “ransom-flag.png” که در درایو “D:\” ایجاد میکند را رمز کرده و بقیه فایلها را دست نخورده باقی میگذارد. به همین دلیل اکنون این باجافزار خطر جدی ایجاد نمیکند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.
این گونه بدافزارها تقریباً یک استراتژی مشخص برای تکثیر خود دارند. آنها برای نفوذ از روشهای دانلود نرمافزار از سایتهای غیر معتبر، آپدیت برنامهها از منابع غیر رسمی، فایلهای پیوست شده به ایمیلهای آلوده و تروجانها استفاده میکنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامههای مخرب، از منابع و سایتهای غیر معتبر دانلود انجام نشود و از باز کردن ایمیلهای مشکوک خودداری شود؛ همچنین استفاده از یک آنتیویروس قوی و به روز احتمال آلوده شدن به این گونه برنامههای مخرب را کاهش میدهد.
روشهای مقابله با این باجافزار
وجود فایلها و DLL های زیر میتواند نشانه آلودگی سیستم باشد:
- Ransom_CLICKMEG.A
- TR/Agent.jjjkr
- Trojan.GenericKD.3611661
- Trojan.GenericKD.3611661 (B)
- Trojan.MSIL.TrojanClicker
- W32.Troj.Ransom.Filecoder!c
برای پاک کردن این باجافزار از روی سیستم، دو راه حل ارائه شده که در ادامه تشریح شده است.
الف) پاک کردن باجافزار در محیط Safe Mode
در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باجافزار Click Me آلوده شده است، برنامه پاکسازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود (برای دریافت ابزار پاکسازی، اینجا کلیک شود).
ب) پاک کردن باجافزار از طریق بازگردانی سیستم (System Restore)
اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، میتوان این کار را با System Restore انجام داد. برای این کار بایستی پس از راهاندازی دوباره، سیستم را در حالت Safe Mode With Command Prompt راهاندازی نمود. پس از آماده به کار شدن سیستم در این حالت، بایستی در خط فرمان (Command Prompt) دستور “cd restore” را وارد کرده و پس از آن دستور “rstrui.exe” را وارد نمود. با این دستور، حالت بازگردانی سیستم فعال شده و میتوان سیستم را به حالت قبل از آلوده شدن سیستم بازگردانید. پس از بازگشت سیستم به حالت قبلی، بهتر است نرمافزار ضد بدافزار معتبری را دانلود و اجرا کرده تا همه فایلهای مربوط به باجافزار ClickMe را پاک کند.
منبع:مرکز ماهر