برای بازداشتن قربانیان از مراجعه به مسوولان، نرمافزار مذكور اعلام میكند كه كامپیوتر را به دلیل نقض قوانین كپیرایت یا – در نسخههای اولیه نرمافزار گروگانگیر- بر اساس قوانین ضد تروریسم و هرزهنگاری قفل كرده است.
منبع : خبرگزاری ايسنا
مجرمان به جای رمزگذاری كل هارددرایو از نرمافزارهای ساده گروگانگیر برای قفل كردن كامپیوتر قربانی استفاده میكنند و سپس برای باز كردن قفل آن پول درخواست میكنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نرم افزار گروگانگیری عموماً با اجرای ناخواسته برنامه مخرب توسط قربانی آغاز میشود. سپس این نرمافزارها كه نرمافزار گروگانگیر خوانده میشوند، هارددرایو كامپیوتر را رمزگذاری و به قربانی پیشنهاد میكنند كه در ازای پرداخت مبلغی اندك كلید رمزگذاری را خریداری كند.
طی چند ماه گذشته، متخصصان امنیت با شماری از گروههایی كه از این تاكتیك استفاده میكنند وارد بازی موش و گربه شدهاند. نسخههای جدید این نوع بدافزارها كه كاربران كامپیوترها را در اتریش، هلند، انگلستان، فرانسه، آلمان و سوییس هدف قرار دادهاند، از همین روش برای قفل كردن كامپیوترها استفاده میكنند: اجرای برنامههای كوچك كه در استارتآپ سیستم بارگذاری میشود و كاربر را وادار میكند تا پیش از ورود به سیستم كدی را وارد كند.
برای بازداشتن قربانیان از مراجعه به مسوولان، نرمافزار مذكور اعلام میكند كه كامپیوتر را به دلیل نقض قوانین كپیرایت یا – در نسخههای اولیه نرمافزار گروگانگیر- بر اساس قوانین ضد تروریسم و هرزهنگاری قفل كرده است.
نرمافزار گروگانگیر عموماً تهدیدی مهم تلقی نمیشود بلكه صرفاً آن را اتفاقی نامتعارف میدانند. اما افزایش وقوع آن در چند وقت اخیر ممكن است نشانه موفقیت نسبی مجرمان در كاربرد آن باشد.
یكی از مدیران ابیوس.سیاچ (Abuse.ch)، سایت ردگیری باتنتها كه مقر آن در سوییس است، در مصاحبهای مكتوب گفت: از نظر من، این شیوه بسیار متداول شده است. دلیلش را نمیدانم اما شاید دلیل آن دشوار نبودن نوشتن برنامه نرمافزار گروگانگیر باشد - تلاشی اندك اما بسیار مؤثر.
بر اساس اطلاعات سايت سازمان فناوري اطلاعات كشور، سایت ابیوس.سیاچ كه به دلیل ردگیری باتنتهای مهمی چون زئوس (Zeus) و اسپایآی(SpyEye) معروف شده است، در نوشتهای خاطرنشان كرد كه آلودگی مذكور به شیوهای متداول، یعنی استفاده از كیت بلكهول (Blackhole) منتشر میشود.
مجرمان سایبری با استفاده از این ابزار میتوانند وبسایتهایی ایجاد كنند كه از نقاط ضعف نرمافزاری موجود در سیستمهای بازدیدكنندگان بهرهبرداری و بدافزارها را نصب میكنند.
نرمافزار گروگانگیر به محض نصب شدن مكان جغرافیایی قربانی را شناسایی و هشداری متناسب با كشور مربوطه ارسال میكند. در این هشدار از كاربر خواسته میشود كه برای باز كردن قفل سیستم هزینهای بپردازد. در تحلیل مذكور آمده است كه نكته عجیب فرایند مذكور این است كه پیش از آن كه بدافزار مكان قربانی را شناسایی كند، همه هشدارها به آلمانی نوشته میشوند.
این حملات چنان افزایش یافتهاند كه گروه واكنش اضطراری كامپیوتر لهستان (CERT Polska) رهنمودی منتشر كرد كه در آن دو راهكار برای باز كردن قفل كامپیوتر آلوده بدون پرداخت پول به باجگیران ذكر شده بود. پیش از انتشار این رهنمود، CERT وسیلهای ابداع كرده بود كه میشد به كمك آن كلیدهایی تقلبی برای باز كردن قفل سیستم به وجود آورد اما این ابزار در مورد نسخههای جدیدتر نرمافزار گروگانگیر كارایی نداشت.
در این رهنمود آمده است روشهایی كه CERT اعلام كرده به كاربران كمك میكند تا بدافزار مذكور را از روی سیستم پاك كنند، حتی وقتی كه بوت كردن سیستم ممكن نباشد.
بنا بر هشداری كه CERT داده است، این بدافزار اغلب خود را به فهرست نرمافزارهای كاربردیای میافزاید كه هنگام بالا آمدن سیستم شروع به كار میكنند. با این كار، وقتی كاربر هنگام راه افتادن سیستم آن را حذف میكند، بدافزار میتواند دستگاه را در نوبت دیگری آلوده سازد. تنها راه حل این است كه جلوی این بدافزار از ابتدای راهاندازی سیستم گرفته شود.
در روشهای اعلام شده، از Safe Mode ویندوز برای راهاندازی دستگاه و حذف دستی بدافزار یا از یك سیدی بازیافت كه یكی از سازندگان آنتیویروس ارائه كرده استفاده میشود.
بنا به گفته ابیوس.سیاچ، با وجود چنین راه حلهای سادهای احتمال نمیرود كه این مجرمان بتوانند بابت كلید قفلهاشان ۱۰۰ یورو دریافت كنند اما سادگی این نوع حملات ممكن است به افزایش آنها منجر شود.