کمیته رکن چهارم – نسخه جدیدی از باجافزار CrySis در حال انتشار است که پس از رمزگذاری فایلهای پراستفاده کاربر به آنها پسوند bip را الصاق میکند.
این چندمین بار است که کاربران و مؤسسات ایرانی هدف باجافزار CrySis قرار میگیرند.
باجافزار CrySis – که با نامهای Dharma و Wallet نیز شناخته میشود – از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستمها از طریق پودمان RDP اقدام به آلودهسازی آنها میکنند.
نسخه جدید، علاوه بر تغییر پسوند فایل رمزگذاری شده نام آن را نیز بر اساس الگوی زیر تغییر میدهد:
- [Original File Name].[Original File Extension].id-[ID].[peekabooo@qq.com].bip
برای مثال نام و پسوند فایل Setup.exe پس از رمزگذاری شدن به Setup.exe.id-EEB4B6C8.[peekabooo@qq.com].bip تغییر داده میشود.
اطلاعیه باج گیری این نسخه از باجافزار CrySis در قالب دو فایل نمایش داده میشود. فایل نخست با نام Info.hta در زمان ورود کاربر به دستگاه اجرا شده و سبب ظاهر شدن اطلاعیه باجگیری میگردد. فایل دوم نیز FILES ENCRYPTED.txt نام دارد که بر روی Desktop کپی میشود.
در هر دو فایل از قربانی خواسته میشود تا جهت دریافت دستورالعمل دریافت باج از طریق ایمیل peekabooo@qq.com با مهاجمان ارتباط برقرار کند.
همانطور که اشاره شد روش اصلی انتشار باجافزار CrySis بهرهگیری مهاجمان آن از پودمان پراستفاده RDP است. بنابراین به تمامی مدیران و راهبران شبکه مطالعه این راهنما توصیه میشود.
لازم به ذکر است که نسخه بررسی شده در این خبر با نامهای زیر توسط ضدویروسهای Bitdefender و McAfee قابل شناسایی میباشد:
Bitdefender
– Trojan.Ransom.Crysis.E
McAfee
– Ransom-FBV!FD7D718213AD
منبع : شبکه گستر
