ویروس باجگیر « کد نات Codnat » از خانواده Stop و Djvu

طی این هفته موارد زیادی از آلودگی به ویروس باجگیر « کد نات Codnat » در ایران به «مرجع آنتی ویروس ایران» گزارش شده است با توجه به تعداد زیاد آلودگی‌ها لازم دیدم با بررسی آن شما عزیزان را از نحوه عمل و مقابله با آن مطلع گردانم. با توجه به اهمیت موضوع این مرجع اکیداً توصیه می‌کند با مطالعه دقیق این مطلب و توجه به نکات ارائه شده آن علاوه بر رعایت موارد اعلام شده نسبت به آگاه سازی دیگران نیز اقدام نمایید.

توجه داشته باشید که ویروس باجگیر « کد نات Codnat » شبیه دیگر ویروس‌های باجگیر در حال آلوده سازی تعداد بسیار زیادی از کامپیوترها می‌باشد، بنابراین لازم است ابتدا به تهیه پشتیبان از اطلاعات مهم خود بر روی DVD یا CD  بپردازید و سپس به توصیه‌های دیگر عمل نمایید.

هدف ویروس باجگیر « کد نات Codnat » دقیقاً مشابه ویروس‌های باجگیر قبلی، رمزنگاری کردن اطلاعات و درخواست باج است. در حال حاضر مبلغ باج حدود 490 تا 980 دلار می‌باشد که در صورت پرداخت تا سه روز اول مبلغ 490 خواهد بود. این ویروس در خانواده Stop و Djvu و مشتقات دیگر آن نظیر  .STOP، .SUSPENDED، .WAITING، .PAUSA، .CONTACTUS، .DATASTOP، .STOPDATA، .KEYPASS، .WHY، .SAVEfiles، .DATAWAIT، .INFOWAIT، .puma، .pumax، .pumas، .shadow، .djvu، .djvuu، .udjvu، .djvuq، .uudjvu، .djvus، .djvur، .djvut .pdff، .tro، .tfude، .tfudeq، .tfudet، .rumba، .adobe، .adobee، .blower، .promos، .promoz، .promock، .promoks، .promorad، .promok، .promorad2، .kroput، .kroput1، .charck، .pulsar1، .klope، .kropun، .charcl، .doples، .luces،  .luceq، .chech، .proden، .drume، .tronas، .trosak، .grovas، .grovat، .roland، .refols، .raldug، .etols، .guvara، .browec، .norvas، .moresa، .verasto، .hrosas، .kiratos، .todarius، .hofos، .roldat، .dutan، .sarut، .fedasot، .forasom، .berost، .fordan، .codnat، .codnat1، .bufas یا .dotmap قراردارد.

هشدار مهم  1
در صورت آلوده شدن به این ویروس از وصل کردن هرگونه حافظه فلش و هارد دیسک اکسترنال به کامپیوتر آلوده خودداری نمایید.

هشدار مهم ۲
این ویروس توانایی از کار انداختن تمامی آنتی ویروس ها را دارد بنابراین تا دیر نشده است از اطلاعات خود را روی CD یا  DVD پشتیبان بگیرید و فقط به داشتن آنتی ویروس اکتفاء نکنید.

هشدار مهم ۳
هدف اصلی این ویروس ویندوزهای سروری نظیر Windows server 2003, 2005, 2008 ,2012, 2016, 2019 می باشد تا با آلوده کردن و رمز کردن اطلاعات آنها که از بقیه کامپیوترها  مهم تر هستند باج بیشتری بگیرد. سیستم عامل همه موارد مراجعه شده به بنده ویندوز سروری بوده است.

هشدار مهم ۴
این ویروس در کامپیوترهای معمولی شبکه خود را پنهان نگه میدارد و با وصل شدن یک کاربر به سرور از طریق ریموت دسکتاپ خود را به آن میرساند و آنرا آلوده می کند. پس به هیچ عنوان از Remote Desktop استفاده ننمایید، مخصوصاً با نوع کاربری Administrator.

نحوه نفوذ
این نوع ویروس ها معمولاً به چهار شکل وارد کامپیوتر قربانی می‌شوند:
۱- از طریق پیوست ایمیل (فایل ضمیمه ایمیل) هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس (از همه مهمتر است): معمولاً javascript  و بصورت پنهان در فایلهای word  و excel ، pdf ، rar  ، zip ،  txt  و …
۲-  بازدید سایت آلوده یا هدایت شدن به سایت آلوده کننده: از لینک داخل هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس و مراجعه به سایت‌های مختلف و جستجوی بدون دقت در وب
۳-  دانلود برنامه‌های کرک شده (کنار فایلهای رایگان قرار گرفتن): ویروس خود را در setup برنامه های رایگان قرار می‌دهد، وقتی قربانی در اینترنت برنامه دلخواه خود را جستجو و دانلود می‌کند، ویروس را هم وارد کامپیوتر خود می‌کند. در موقع نصب هم اجازه لازم برای نصب برنامه را می‌دهد و ویروس خود را اجرا می‌کند.
۴- ریموت دسکتاپ به ویندوزهای سرور: متاسفانه تمام موارد مراجعه شده به بنده، ویندوزهای سروری بوده اند و همگی مرتباً از طریق ریموت دسکتاپ به سرور وارد می شدند. متاسفانه ۹۹ درصد موارد آلودگی ویندوزهای سرور که به بنده مراجعه شده، همگی از این برنامه استفاده می‌نمودند بنابراین این برنامه میتواند یکی از راه‌های آلودگی باشد.

نحوه خرابکاری
این ویروس ابتدا با نمایش پنجره آپدیت سیستم عامل ویندوز اجازه دستکاری بخش‌ها مهم را از کاربر می‌گیرد و سپس با استفاده از رمزنگاری تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کند. اطلاعات رمز شده فقط با داشتن کلید انحصاری قابل بازگشت می باشند. در اصل دو کلید وجود دارد یک کلید عمومی و یک کلید اختصاصی که این کلید اختصاصی در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به همراه یک برنامه به قربانی داده می‌شود. به نام هر فایل پسوند  codnat  را اضافه می‌کند.

متن باجگیری
متن باجگیری بصورت زیر می‌باشد که ضمن اعلام رمزنگاری شدن فایلها از شما خواسته می‌شود با ایمیل mosteros@firemail.cc یا gorentos@bitmessage.ch و یا تلگرام @datarestore با باجگیر تماس بگیرید.

شناسایی ویروس قبل از خرابکاری
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
در حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

پیشگیری از آلودگی:
قبل از هرچیز از اطلاعات مهم خود روی DVD پشتیبان تهیه نمایید. توجه نمایید در وضعیت اضطراری نوع دوم استفاده از هارد دیسک اکسترنال و یا حافظه فلش غیرمجاز و اشتباه است.

راه حل
در حال حاضر راه حل قطعی برای آن ساخته نشده است، اما برنامه ایی بنام  STOPDecrypter امکان بازگشایی رمز را در برخی موارد مهیا می‌کند. شما می‌توانید آنرا از اینجا دریافت نمایید.

نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. همیشه آپدیت اتوماتیک ویندوز خود را فعال نگهدارید تا ویندوز خود را آپدیت نماید و جدیدترین وصله های امنیتی در آن نصب شود. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به این ویروس مجبور به پرداخت باج نباشید.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.