کمیته رکن چهارم – شرکت مایکروسافت هشداری با درجه اهمیت حاد (Severe) منتشر کرده که در آن در خصوص انتشار گونه ای باج افزار (Ransomware) با عنوان ZCryptor هشدار داده شده است.
به گزارش کمیته رکن چهارم،گردانندگان باج افزار ZCryptor از طریق هرزنامه های با پیوست فایل Office حاوی ماکروی ویزوسی اقدام به توزیع باج افزار می کنند.
با اجرای فایل آلوده، بمنظور اجرای خودکار ZCryptor در هر بار راه اندازی سیستم، کلید زیر در محضرخانه (Registry) ایجاد می گردد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}
علاوه بر ایجاد کلید فوق، میانبر زیر نیز در پوشه Startup کاربر ساخته می شود:
%User Startup%\zcrypt.lnk
این باج افزار ۸۸ نوع پسوند فایل را رمزنگاری کرده و به آنها پسوند zcrypt را الصاق می کند.
باج افزار با ایجاد فایل How to decrypt files.html و نمایش آن از قربانی می خواهد تا با برای رمزگشایی فایل ها مبلغ ۱/۲ بیت کوین (معادل حدود ۵۰۰ دلار) را پرداخت کند.
در صورتی که پرداخت ظرف مدت ۴ روز انجام نشود، مبلغ باج به ۵ بیت کوین افزایش می یابد.
از خصوصیات ویژه ZCryptor بازتولید خود از طریق حافظه های حذف شدنی و درایوهای شبکه ای است؛ این باج افزار اقدام به ساخت فایل autorun.inf و یک نسخه از خود در حافظه های حذف شدنی متصل به دستگاه می کند. هدف از این کار اجرای خودکار فایل مخرب باج افزار – بدون دخالت کاربر – در زمان اتصال حافظه به دستگاه غیرآلوده است.
به گزارش شبکه گستر,این ویژگی ها سبب شده شرکت مایکروسافت این باج افزار را در دسته کرم ها (Worm) طبقه بندی کند. موضوعی که ZCryptor را در فهرست نخستین باج افزارهای با قابلیت کرمی قرار می دهد.
توضیح اینکه گونه گزارش شده ZCryptor، توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های RDN/Ransom و Trojan.GenericKD.3257805 شناسایی می شود.
منبع:مایکروسافت
