نسخه جدید CryptoMix یا CryptFile2 از پسوندی جدید و طولانی برای فایل‌هایی که رمز می‌کند، استفاده می‌نماید. از این‌رو قربانیان این باج‌افزار زمانی که در اینترنت به دنبال راهی برای رمزگشایی فایل‌هایشان می‌گردند و یا می‌خواهند بفهمند به چه باج‌افزاری آلوده شده‌اند با این پسوند جدید دچار مشکل می‌شوند.  می‌توان حدس زد که انتخاب این پسوند جدید توسط سازندگان CryptoMix به این دلیل است که پسوند .WALLET قبلا توسط باج‌افزارهای Sanctions، Crysis و Dharma مورد استفاده قرار گرفته‌اند. از نشانه‌های دیگر که مشخص می‌کند به CryptoMix آلوده شده‌اید، رایانامه‌ای است که برای دریافت باج توسط CryptoMix استفاده می‌شود. در نمونه‌های مشاهده شده رایانامه [email protected] ، [email protected] و یا [email protected] بوده است. در این مطلب می‌خواهیم نگاهی عمیق‌تر به نسخه جدید باج‌افزار cryptoMix داشته باشیم. اگر قربانی این باج‌افزار شده‌اید بایستی بگوییم متاسفانه هنوز رمزگشایی برای آن عرضه نشده است و بازگشایی فایل‌های آلوده‌ی شما در حال حاضر غیرممکن است. در این مطلب برای راحتی کار به جای استفاده از نسخه جدید CryptoMix از  Wallet استفاده می‌نماییم.

 در مرحله بعد باج‌افزار Wallet برای یافتن فایل شروع به پویش سیستم قربانی می‌نماید. این باج‌افزار فرمت‌های خاصی را هدف قرار نمی‌دهد. از این‌رو نتوانسته‌ایم فهرستی از فرمت‌های مورد نظر این باج‌افزار گردآوری کنیم. تنها موفق به به تهیه یک فهرست سفید از فایل‌هایی که مورد تهاجم قرار نداده است شده‌ایم.

باج‌افزار Wallet از الگوریتم AES برای رمزنگاری استفاده می‌نماید و بعد از آن نام فایل را تغییر می‌دهد. روند تغییر نام فایل بدین گونه است که نام فایل توسط  ROT-13 تغییر کرده و سپس یکی از پسوندهای زیر به آن اضافه می‌گردد. به طور مثال test.jpg بدین صورت درمی‌آید.

grfg.wct.[[email protected]].ID[1111111111111111].WALLET​.

در هر فایل یک یادداشت باج‌افزار هم موجود است. این یادداشت به نام #_RESTORING_FILES_#.TXT. می‌باشد. پیغام جعلی زیر را برای قربانی نمایش داده خواهد شد. زمانی که قربانی کلید OK را فشار دهد باج‌افزار به نسخه‌ی ارتقا یافته‌ی خود از طریق WMIC دست می‌یابد. این نسخه ارتقا یافته  bcdedit را جدا کرده و کپی‌های Volume Shadow را پاک می‌کند.  این کار باعث می‌شود   User Account Control به صورت زیر نمایش داده شود. این UAC تقلبی به گونه‌ای طراحی شده است که کاربر را مجاب می‌نماید تا بر روی Yes کلیک نماید.

زمانی که قربانی بر رویok کلیک می‌کند، باج افزار به نسخه ارتقا یافته خود از طریق WMIC دست می‌یابد. این نسخه ارتقا یافته  bcdedit را جدا کرده و کپی‌های volume shadow را پاک می‌کند. این کار باعث می‌شود User Account Control به صورت زیر نمایش داده شود. این UAC تقلبی به گونه‌ای طراحی شده است که کاربر را مجاب می‌نماید تا بر روی Yes کلیک نماید. این پیغام تا زمانی که کاربر بر روی Yes کلیک مرتبا ارسال خواهد شد.

بعد از کلیک کردن قربانی بر روی Yes باج‌افزار دستورات زیر را اجرا نموده و در نتیجه آن Windows Startup Recovery غیر‌فعال شده و کپی‌های Windows Shadow Volume پاک خواهند شد.

در نهایت باج‌افزار Wallet پیغام زیر را نمایش خواهد داد. نام این فایل #_RESTORING_FILES_#.TXT می‌باشد.

این پیغام حاوی اطلاعاتی در ارتباط با اتفاقاتی که برای فایل‌های قربانی استفاده شده، یک شناسه و آدرس رایانامه است که از طریق آن با توسعه‌دهنده باج‌افزار می‌توان تماس گرفت. توسعه‌دهندگان باج‌افزار WALLET برای نشان دادن توان رمزگشایی فایل‌ها به قربانی پیشنهاد می‌دهند که ۵ عدد از فایل‌هایش را رمزگشایی می‌کنند. لازم به ذکر است هنوز راهکار رایگانی در اینترنت برای رمزگشایی این فایل‌ها وجود ندارد.

در صورتی که قربانی این باج‌افزار شده‌اید و از مشتریان آرمان داده پویان هستید با کارشناسان فنی کسپرسکی ما تماس بگیرید.

آرمان‌ داده پویان نماینده پلاتینویم محصولات کسپرسکی در ایران