بدافزارها

نسخه جدید باج‌افزار CryptoMix
۲۸ فروردین ۱۳۹۷

نسخه جدید باج‌افزار CryptoMix

نسخه جدید CryptoMix یا CryptFile2 از پسوندی جدید و طولانی برای فایل‌هایی که رمز می‌کند، استفاده می‌نماید. از این‌رو قربانیان این باج‌افزار زمانی که در اینترنت به دنبال راهی برای رمزگشایی فایل‌هایشان می‌گردند و یا می‌خواهند بفهمند به چه باج‌افزاری آلوده شده‌اند با این پسوند جدید دچار مشکل می‌شوند.  می‌توان حدس زد که انتخاب این پسوند جدید توسط سازندگان CryptoMix به این دلیل است که پسوند .WALLET قبلا توسط باج‌افزارهای Sanctions، Crysis و Dharma مورد استفاده قرار گرفته‌اند. از نشانه‌های دیگر که مشخص می‌کند به CryptoMix آلوده شده‌اید، رایانامه‌ای است که برای دریافت باج توسط CryptoMix استفاده می‌شود. در نمونه‌های مشاهده شده رایانامه [email protected] ، [email protected] و یا [email protected] بوده است. در این مطلب می‌خواهیم نگاهی عمیق‌تر به نسخه جدید باج‌افزار cryptoMix داشته باشیم. اگر قربانی این باج‌افزار شده‌اید بایستی بگوییم متاسفانه هنوز رمزگشایی برای آن عرضه نشده است و بازگشایی فایل‌های آلوده‌ی شما در حال حاضر غیرممکن است. در این مطلب برای راحتی کار به جای استفاده از نسخه جدید CryptoMix از  Wallet استفاده می‌نماییم.

باج‌افزار Wallet فایل‌های قربانی را چگونه رمز می‌نماید

 در مرحله بعد باج‌افزار Wallet برای یافتن فایل شروع به پویش سیستم قربانی مینماید. این باجافزار فرمتهای خاصی را هدف قرار نمیدهد. از اینرو نتوانستهایم فهرستی از فرمتهای مورد نظر این باجافزار گردآوری کنیم. تنها موفق به به تهیه یک فهرست سفید از فایلهایی که مورد تهاجم قرار نداده است شدهایم.

باجافزار Wallet از الگوریتم AES برای رمزنگاری استفاده می‌نماید و بعد از آن نام فایل را تغییر می‌دهد. روند تغییر نام فایل بدین گونه است که نام فایل توسط  ROT-13 تغییر کرده و سپس یکی از پسوندهای زیر به آن اضافه می‌گردد. به طور مثال test.jpg بدین صورت درمی‌آید.

grfg.wct.[[email protected]].ID[1111111111111111].WALLET​.

در هر فایل یک یادداشت باجافزار هم موجود است. این یادداشت به نام #_RESTORING_FILES_#.TXT. میباشد. پیغام جعلی زیر را برای قربانی نمایش داده خواهد شد. زمانی که قربانی کلید OK را فشار دهد باج‌افزار به نسخه‌ی ارتقا یافته‌ی خود از طریق WMIC دست می‌یابد. این نسخه ارتقا یافته  bcdedit را جدا کرده و کپی‌های Volume Shadow را پاک می‌کند.  این کار باعث می‌شود   User Account Control به صورت زیر نمایش داده شود. این UAC تقلبی به گونه‌ای طراحی شده است که کاربر را مجاب می‌نماید تا بر روی Yes کلیک نماید.

زمانی که قربانی بر رویok کلیک می‌کند، باج افزار به نسخه ارتقا یافته خود از طریق WMIC دست می‌یابد. این نسخه ارتقا یافته  bcdedit را جدا کرده و کپی‌های volume shadow را پاک می‌کند. این کار باعث می‌شود User Account Control به صورت زیر نمایش داده شود. این UAC تقلبی به گونهای طراحی شده است که کاربر را مجاب مینماید تا بر روی Yes کلیک نماید. این پیغام تا زمانی که کاربر بر روی Yes کلیک مرتبا ارسال خواهد شد.

بعد از کلیک کردن قربانی بر روی Yes باجافزار دستورات زیر را اجرا نموده و در نتیجه آن Windows Startup Recovery غیرفعال شده و کپیهای Windows Shadow Volume پاک خواهند شد.

 

در نهایت باجافزار Wallet پیغام زیر را نمایش خواهد داد. نام این فایل #_RESTORING_FILES_#.TXT میباشد.

این پیغام حاوی اطلاعاتی در ارتباط با اتفاقاتی که برای فایلهای قربانی استفاده شده، یک شناسه و آدرس رایانامه است که از طریق آن با توسعهدهنده باجافزار میتوان تماس گرفت. توسعهدهندگان باجافزار WALLET برای نشان دادن توان رمزگشایی فایلها به قربانی پیشنهاد میدهند که ۵ عدد از فایلهایش را رمزگشایی میکنند. لازم به ذکر است هنوز راهکار رایگانی در اینترنت برای رمزگشایی این فایلها وجود ندارد.

در صورتی که قربانی این باجافزار شدهاید و از مشتریان آرمان داده پویان هستید با کارشناسان فنی کسپرسکی ما تماس بگیرید.

آرمان‌ داده پویان نماینده پلاتینویم محصولات کسپرسکی در ایران


تازه ترین ها