کمیته رکن چهارم – نویسندگان GandCrab، نسخه سوم این باجافزار مخرب را منتشر کردند. نسخههای قبلی این باجافزار در ماههای اخیر تعداد قابل توجهی از دستگاهها را در کشورهای مختلف از جمله ایران به خود آلوده کرده بودند.
در زمان نگارش این خبر، نسخه سوم این باجافزار، با سوءاستفاده از آسیبپذیریهای امنیتی – با بکارگیری بسته بهرهجوی Magnitude – و از طریق ایمیلهای با پیوست فایل ZIP که در آن یک اسکریپت VB جاسازی شده کاربران را هدف قرار داده است.
نسخه جدید مجهز که به یک قابلیت خودکار است که با ایجاد کلید زیر در محضرخانه سیستم عامل سبب اجرای خودکار فایل اصلی باجافزار در هر بار راهاندازی دستگاه میشود.
- SubKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
- Name: <random chars>
- Value: %APPDATA%\Microsoft\<random chars>.exe
فایل اطلاعیه باجگیری و پسوند فایلهای رمزگذاری شده همانند نسخه پیشین بترتیب CRAB-DECRYPT.txt و .CRAB بدون تغییر باقی ماندهاند.
همچنین در نسخه جدید پسزمینه سیستم عامل تغییر یافته و در پیام درج شده در تصویر از قربانی خواسته میشود تا به اطلاعیه باجگیری مراجعه کند.
نسخه سوم GandCrab دارای اشکالی است که سبب بروز اختلال در عملکرد دستگاههای با سیستم عامل Windows 7 میشود. در این دستگاهها پس از راهاندازی مجدد شدن دستگاه تها یک مرورگر در اختیار کاربر خواهد بود (تصویر ز یر):
هر چند که با فشردن همزمان دگمههای CTRL+ALT+DEL، انتخاب گزینه Task Manager و در ادامه پایان دادن به پروسه متعلق به باجافزار، دسترسی به بخشهای سیستم عامل فراهم خواهد شد. انتظار میرود که این باگ امنیتی بزودی توسط نویسندگان باجافزار برطرف شود.
لازم به ذکر است که در اسفند ماه سال گذشته شرکت ضدویروس Bitdefender اقدام به عرضه ابزاری برای بازگردانی فایلهای رمز شده توسط باجافزار GandCrab کرد. با این حال متأسفانه در زمان انتشار این خبر، امکان رمزگشایی فایلهای رمزگذاری شده توسط نسخههای بعدی GandCrab از جمله نسخه بررسی شده در این خبر بدون در اختیار داشتن کلید فراهم نیست.
نمونهای که در این خبر به آن پرداخته شده با نامهای زیر شناسایی میشود:
McAfee
– GenericRXFF-OD!F7C072A322CB
Bitdefender
– Gen:Variant.Zusy.283911
Sophos
– Mal/Generic-S
منبع : شبکه گستر
