باج افزار Trojan.Encoder.6491

کمیته رکن چهارم – به تازگی باج‌افزاری در فضای سایبری منتشر شده است کهTrojan.Encoder.6491 نام داشته و خود را به شکل Windows_Security.exe به کاربران تحمیل می‌کند. نویسنده باج‌افزار برای آن‌که بتواند کاربران را فریب دهد، باج‌افزار خود را سه‌شنبه هفته گذشته همزمان با ارائه بولتن ماهیانه مایکروسافت عرضه کرده است.

به گزارش کمیته رکن چهارم،آن‌گونه که شرکت سازنده نرم‌افزارهای امنیتی دکتر وب (Dr.web) گزارش کرده است، به تازگی باج‌افزاری در فضای سایبری منتشر شده است که Trojan.Encoder.6491 نام داشته و خود را به شکل Windows_Security.exe به کاربران تحمیل می‌کند. نویسنده باج‌افزار برای آن‌که بتواند کاربران را فریب دهد، باج‌افزار خود را سه‌شنبه هفته گذشته همزمان با ارائه بولتن ماهیانه مایکروسافت عرضه کرده است. به این امید که کاربران با دیدن نام Windows_Security اغفال شوند و این باج‌افزار را روی سیستم خود نصب کنند.

Trojan.Encoder.6491 فرآیند رمزنگاری فایل‌ها را بر اساس الگوریتم AES انجام داده و قادر است ۱۴۰ فرمت فایلی مختلف را رمزنگاری کند. همچنین برای آن‌که قربانیان بتوانند همچنان از سیستم خود استفاده کرده و باج مربوطه را پرداخت کنند، پوشه‌های اصلی مربوط به ویندوز را رمزنگاری نمی‌کند. کاربران این توانایی را دارند تا باج‌افزار Trojan.Encoder.6491 را در سیستم خود مشاهده کنند، به دلیل این‌که باج‌افزار بعد از آن‌که فایل‌ها را رمزنگاری می‌کند، نام آن‌ها را تغییر می‌دهد. باج‌افزار از فایلی به نام photo.png استفاده کرده و فرآیند کدگذاری نام فایل‌ها را بر مبنای الگوریتم Base64 انجام می‌دهد. در ادامه پسوند ENC را به انتهای نام فایل‌ها در قالبی شبیه به cGhvdG8=.enc و… اضافه می‌کند. زمانی که تروجان نصب می‌شود در ادامه فرمان “vssadmin.exe Delete Shadows /All /Quiet” را به منظور حذف تمامی کپی‌ها و نقاط بازگشتی (Restorepoints) که از سوی کاربر ساخته شده است به مرحله اجرا در می‌آورد. بعد از اتمام فرآیند کدگذاری با استفاده از تابع main_ListenForPayment مقدار بیت‌کوین کیف الکترونیکی را مورد بررسی قرار می‌دهد.

اما خبر خوب این است که پژوهشگران شرکت دکتر وب موفق شده‌اند رخنه‌ای را در مکانیزم رمزنگاری این باج‌افزار شناسایی کنند و بر مبنای همان رخنه یک رمزگشا که قادر است فایل‌های قفل شده را بدون آن‌که کاربران نیازی داشته باند باجی را برای دست‌یابی به فایل‌های خود پرداخت کنند، طراحی کنند. اما خبر بد این است که این رمزگشا تنها در اختیار مشتریان این شرکت قرار می‌گیرد. در نتیجه برای دستیابی به این ابزار رمزگشا باید یکی از مشتریان این شرکت امنیتی مستقر در روسیه باشید و هزینه مربوطه را پرداخت کنید.

نکته خنده‌دار و قابل تعمل این است که هر دو طرف به یک اندازه از کاربران برای دسترسی به فایل‌هایشان پول دریافت می‌کنند. در حالی که مشتریان دکتر وب برای دسترسی به این ابزار رمزگشا باید مبلغ ۳۰ دلار را پرداخت کنند، نویسنده این باج‌افزار نیز برای آن‌که کاربران بتوانند به فایل‌های کدگذاری شده خود دسترسی داشته باشند مبلغ ۳۰ دلار را به عنوان باج دریافت می‌کند.

منبع:Dr.web