کمیته رکن چهارم – باج افزار (Ransomeware) جدیدی که سعی دارد خود را شبیه باج افزار مشهور Locky نشان دهد، اخیراً شناسایی شده است. باج افزار جعلی AutoLocky نسخه بسیار بی کیفیت و سر همبندی شده ای از باج افزار Locky است که در مدت کوتاهی پس از ظهور و انتشار توانست قربانیان بسیاری را در اقصی نقاط جهان به دام بیندازد.
به گزارش کمیته رکن چهارم،باج افزار جعلی AutoLocky از نشان (icon) نرم افزار Adobe PDF استفاده می کند و به نظر می رسد که از طریق ایمیل های انبوه و ناخواسته (هرزنامه یا spam) منتشر شده است.
این باج افزار جعلی هم مانند باج افزار اصلی Locky فایلهای قربانی خود را با الگوریتم AES-128 رمزگذاری کرده و پسوند locky. را به آن اضافه می کند. نوع فایلهایی که باج افزار AutoLocky مورد حمله قرار می دهد، بسیار متنوع و زیاد است.
پس از رمزگذاری فایلهای مورد نظر، پیام باج خواهی به نمایش در می آید. در این پیام AutoLocky سعی می کند که خود را به جای باج افزار اصلی Locky قالب کند.
اما برخلاف باج افزار اصلی Locky، مرکز کنترل و فرماندهی این باج افزار جعلی بر روی شبکه ناشناس Tor قرار ندارد. همچنین برخلاف Locky که به زبان برنامه نویسی ++C نوشته شده، باج افزار جعلی از زبان برنامه نویسی AutoIt استفاده کرده است.
کیفیت ساخت باج افزار AutoLocky به حدی پایین و دارای خطاهای ابتدایی برنامه نویسی است که در مدت کوتاهی که از ظهور و انتشار آن می گذرد، ابزار رمزگشایی آن تهیه شده و در دسترس عموم قرار گرفته است.
البته هیچ بعید نیست که نویسنده باج افزار AutoLocky سعی کند تا با انتشار نسخه جدیدی از باج افزار خود، خطاها و اشتباهات نسخه اول را اصلاح و ترمیم کند. در اینصورت ممکن است ابزار رمزگشایی ارائه شده بر روی نسخه های جدیدتر AutoLocky به درستی و با موفقیت عمل نکند.
