DeathRansom، واقعاً باج‌افزار شد!

کمیته رکن چهارم – برخی منابع از انتشار گسترده باج‌افزار جدیدی با نام DeathRansom خبر داده‌اند.

نخستین نسخه از DeathRansom، با چسباندن پسوند wctc به فایل‌ها و ایجاد فایل موسوم به اطلاعیه باج‌گیری (Ransom Note) اینطور وانمود می‌کرد که دستگاه به باج‌افزار آلوده شده و برای رمزگشایی، کاربر باید اقدام به پرداخت مبلغ اخاذی شده کند. اما خیلی زود مشحص شد که DeathRansom تنها تظاهر به باج‌افزار بودن می‌کند و فاقد هر گونه توانایی و قابلیت رمزگذاری است. لذا با تغییر پسوند، بسادگی فایل‌ها به حالت اولیه بازگردانده می‌شدند.

اما اکنون یک هفته است که عملکرد DeathRansom کاملاً دگرگون شده است.

در نسخه‌ای که در حال حاضر در حال انتشار است فایل‌های قربانی به‌معنای واقعی رمزگذاری می‌شوند.

شمار قربانیان آن نیز به‌طور چشم‌گیری در حال افزایش است.

نسخه جدید DeathRansom همانند بسیاری از باج‌افزارهای دیگر اطلاعات موسوم به Shadow Volume Copy را حذف می‌کند. در ادامه اقدام به رمزگذاری فایل‌های کاربر می‌کند. با این توضیح که فایل‌هایی که نام، پسوند و یا مسیرشان شامل هر کدام از موارد زیر است از رمزگذاری شدن مستثنی می‌شوند:

• programdata
• $recycle.bin
• program files
• windows
• all users
• appdata
• read_me.txt
• autoexec.bat
• desktop.ini
• autorun.inf
• ntuser.dat
• iconcache.db
• bootsect.bak
• boot.ini
• ntuser.dat.log
• thumbs.db

بر خلاف نسخه‌های قبلی، در این نسخه هیچ پسوندی به فایل رمزگذاری شده الصاق نشده و تنها راه فهمیدن این که فایل مورد دست‌درازی باج‌افزار قرار گرفته وجود برچسب ABEFCDAB در انتهای فایل رمز شده است.

در پوشه‌ای که حداقل یک فایل آن رمزگذاری شده فایلی با عنوان read_me.txt کپی می‌شود. در این فایل ضمن اشاره به شناسه اختصاصی دستگاه آلوده شده با برچسب LOCK-ID توضیحاتی در مورد نحوه برقراری ارتباط با مهاجم یا مهاجمان درج شده است.

نکته جالب اینکه برخی منابع اعلام کرده‌اند که تعدادی از قربانیان DeathRansom به باج‌افزار STOP نیز آلوده شده‌اند.

STOP از جمله باج‌افزارهایی است که کاربران و سازمان‌های ایران همواره در فهرست اهداف آن قرار داشته‌اند. گرچه این منابع موفق به کشف روش انتشار DeathRansom نشده‌اند اما ارتباط آن با STOP، احتمال یکسان بودن روش انتشار هر دو باج‌افزار را تقویت می‌کند. اصلی‌ترین روش گردانندگان STOP برای انتشار این باج‌افزار، تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت است تا از این طریق دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند به باج‌افزار آلوده کنند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

همچون همیشه تأکید می‌گردد که مؤثرترین راهکار در مقابله با باج‌افزارها، پیشگیری از آلوده شدن به آنهاست. بنابراین بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها توصیه می‌شود.

توضیح اینکه باج‌افزار DeathRansom با نام‌های زیر قابل شناسایی و پاکسازی است:

Bitdefender:
Trojan.GenericKDZ.59981

McAfee:
GenericRXJD-VP!C50AB1DF254C

Sophos:
Mal/Generic-S

منبع : شبکه گستر