ویروس باجگیر لاکی با نام خدایان مصری « اُزیریس Osiris »

از ابتدای سال ۹۵ که با ویروس باجگیر لاکی برخورد کرده ام تا کنون چندین نوع جدید آن  پخش گردیده و به ایران رسیده است، با توجه به نوع عملکرد آن لازم است خطر جدیدترین نوع آنرا گوش زد نمایم، شاید برخی از همکاران من که مسئول شبکه هستند بتوانند با راهنمایی بنده در مقابله با آن و سایر ویروس های باجگیر موفق باشند.

تنوع پسوند در ویروس باجگیر لاکی جدید نیست و این دفعه به سراغ خدایان مصری رفته است آنهم خدای پس از مرگ « اُزیریس Osiris »، این ویروس تا کنون از چندین پسوند مختلف برای فایلهای رمزشده کامپیوتر قربانیان خود استفاده نموده است و ممکن است برای رد گم کردن بازهم از پسوندههای دیگری استفاده کند.

بهرحال « اُزیریس Osiris » بازهم در رده « بد افزارها malware » و خانواده « باجگیرها ransomware » قرار می‌گیرد. متاسفانه هیچ رمزگشایی برای آن ساخته نشده است و در حال حاضر به جز پرداخت باج راه دیگری وجود ندارد. مبلغ باج درخواستی چیزی بین ۰.۵ تا ۴ بیت کوین (معادل ۲ میلیون تومان تا ۱۶ میلیون تومان) می باشد.

هشدار مهم ۱
گرچه این ویروس هر نوع ویندوزی را مورد حمله قرار می دهد ولی هدف اصلی آن ویندوزهای سروری نظیر Windows server 2003, 2005, 2008 ,2012, 2016 از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنیم هر روز از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.

هشدار مهم ۲
این ویروس توانایی از کار انداختن تمامی آنتی ویروس ها را دارد بنابراین تا دیر نشده است از اطلاعات خود را روی CD یا  DVD پشتیبان بگیرید و فقط به داشتن آنتی ویروس اکتفاء نکنید.

هشدار مهم ۳
این ویروس در کامپیوترهای معمولی شبکه خود را پنهان نگه میدارد و با وصل شدن یک کاربر به سرور میرساند و آنرا آلوده می کند.

نحوه نفوذ
این ویروس از طریق پیوست ایمیل (فایل ضمیمه ایمیل) هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس وارد کامپیوتر قربانی میشود. معمولاً عنوان نامه Invoice Inv[random_numbers] می باشد و فایل اکسل با نام   Invoice_Inv[random_numbers].xls است که حاوی ماکرو می باشد و به محض باز کردن آن توسط کاربر، نسخه کامل ویروس را دانلود و اجرا می کند.

در این فایل اکسل نام شیت ۱ که باید انگلیسی باشد یعنی Sheet 1 بصورت کلمه روسی  Лист۱ درج شده است که نشان می دهد این ویروس روسی است.
بخشی  از کد ماکروی دانلود کننده ویروس اصلی بصورت زیر است:

این ماکرو  dll های ویروس را (که پسوند .spe دارند را) در پوشه %Temp% دانلود کرده سپس با دستور زیر ویروس را نصب و فعال می کند:
C:\Windows\System32\rundll32.exe %Temp%\shtefans1.spe,plan

نحوه خرابکاری
به محض اجرا شدن تمامی پروسس‌های مربوط به امنیت ویندوز و آنتی ویروس ها را از کار می‌اندازد تا بعداً خللی در کارش پیش نیاورند. سپس تمامی برنامه های پشتیبان گیری اتوماتیک نظیر shadow backup و  file history را از کار می‌اندازد و پشتیبان های گرفته شده را پاک می‌کند.
این ویروس با استفاده از ترکیب دو نوع رمزنگاری RSA-2048 و AES-256 ، بیشتر فایلهای مهم کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند.

معمولاً نام فایلها را به صورت زیر تغییر می‌دهد که اعداد بخش symbols یا id برای هر کامپیوتر متفاوت است:

[۸ symbols] – [۴ symbols] – [۴ symbols] – [۸ random symbols] – [۱۲ random symbols].osiris
۱۱۱۱۱۱۱۱–۱۱۱۱–۱۱۱۱–FC8BB0BA–5FE9D9C2B69A.osiris
[first_8_chars_of_id]–[next_4_chars_of_id]–[next_4_chars_of_id]–[8_hexadecimal_chars]–[12_hexadecimal_chars].osiris

۱۶ رقم اول شناسه کامپیوتر قربانی می باشد

همانطور که گفته شد این ویروس از از ترکیب دو نوع رمزنگاری RSA-2048 و AES-256 استفاده کرده و تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند. کلید اختصاصی که id آن با id کامپیوتر قربانی یکی است در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به قربانی داده می‌شود.

متن باجگیری
متن باجگیری بصوزت فایلی با نام OSIRIS-9b28.html در هر یک از پوشه های آلوده شده و دسکتاپ کامپیوتر قربانی قرار می گیرد، که ضمن اعلام رمزنگاری شدن فایلها از شما خواسته می‌شود با مراجعه به آدرس داده شده در این متن از مبلغ باج و نحوه پرداخت مطلع شوید.

شناسایی ویروس قبل از خرابکاری
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

راه حل : هنوز برای رمزگشایی راهی کشف نشده است.
متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه مبلغ باج خیلی زیاد است.
درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.

نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل excel ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز AES داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.