۲۱ بهمن ۱۳۹۳ - ۰۱:۰۰
کد خبر: ۱۲۱۰۳
بدافزار CTB-Locker از طریق ایمیل و یک فایل zip وارد سیستم شده و پس از این‌که از حالت فشرده خارج شد شروع به دانلود بدافزار از طریق شبکه TOR می‌کند.
اخیراً مواردی از نفوذ بدافزار CTB-Locker در برخی سازمان‌های کشور مشاهده شده که از طریق ایمیل و یک فایل zip وارد سیستم می‌شود و پس از خروج از حالت فشرده شروع به دانلود بدافزار از طریق شبکه TOR می‌کند.

این بدافزار فایل‌های اجرایی خود را به مسیر %TEMP% انتقال می‌دهد و کاربر می‌تواند آن‌ها را به‌صورت دستی یا از طریق آنتی ویروس پاک کند. برای بازگردانی فایل‌ها نیز ممکن است بتوان از نرم افزار‌های بازگردانی اطلاعات مانند Recuva استفاده کرد. 

به گفته کارشناسان مهم‌ترین نکته برای جلوگیری از ورود این بدافزار، آگاه سازی کاربران داخل سازمان برای عدم بازگشایی ایمیل‌های ناخواسته است. 

معمولاً کاربران برای بازکردن فایل‌های ضمیمه این کار را از طریق خود ایمیل انجام می‌دهند و چون این بدافزار از طریق فایل zip منتشر می‌شود کاربران سازمان می‌توانند مراحل زیر را که بر روی Active Directory و بر روی یک سیستم Local توضیح داده شده‌اند برای جلوگیری از باز شدن غیرعمدی این فایل‌ها انجام دهند. این یک روش برای محدود کردن فایل‌های ZIP در زمان Extract شدن در Active Directory است:

ابتدا بر روی سرور AD خود در Run گزینه gpmc.msc را وارد کنید.



سپس مانند تصویر روی Policy مربوطه کلیک راست کرده و گزینه Edit را انتخاب کنید.



سپس بر روی قسمت Software Restriction Policy کلیک راست کرده و گزینه New Software Restriction Policy را انتخاب کنید.


در مرحله بعد به Additional Rules وارد شوید.


سپس کلیک راست کرده و گزینه New Path Rule را انتخاب کنید. 



در نهایت مسیرهای زیر را در پنجره باز شده در قسمت Path وارد کرده و Security Level را بر روی Disallowed قرار دهید. 

%AppData%\*.exe 
%UserProfile%\Local Settings\*.exe 
%LocalAppData%\*.exe 
%AppData%\*\*.exe 
%UserProfile%\Local Settings\*\*.exe 
%LocalAppData%\*\*.exe 
%UserProfile%\Local Settings\Temp\Rar*\*.exe 
%LocalAppData%\Temp\Rar*\*.exe 
%UserProfile%\Local Settings\Temp\۷z*\*.exe 
%LocalAppData%\Temp\۷z*\*.exe 
%UserProfile%\Local Settings\Temp\wz*\*.exe 
%LocalAppData%\Temp\wz*\*.exe 
%UserProfile%\Local Settings\Temp\*.zip\*.exe 
%LocalAppData%\Temp\*.zip\*.exe 

برای تغییر در سیستم‌ها به صورت Local نیز در Run گزینه SecPol.msc را وارد کرده و همین مراحل را انجام دهید.


منبع: افتانا
گزارش خطا
برچسب ها: بدافزار
ارسال نظرات
نام
ایمیل
نظر