کمیته رکن چهارم – در حرکتی جدید هکرها تصمیم گرفتهاند رویکرد خود را تغییر دهند. در استراتژی جدید که هکرها واژه پاپکورن را برای آن برگزیدهاند، از قربانی خواسته میشود که یکی از دو رویکرد پرداخت باج یا آلوده کردن دو سامانه کامپیوتری را انتخاب کند تا در ازای آن کلید رمزگشایی فایلها در اختیارش قرار گیرد.
به گزارش کمیته رکن چهارم،در چنین شرایطی که هر کاربری در معرض فشار عصبی قرار میگیرد، ترجیح میدهد به جای پرداخت باج مربوطه سامانههای دیگری را آلوده کند تا بدون پرداخت هیچگونه هزینهای به فایلهای خود دسترسی داشته باشد. این الگو که شباهت زیادی به عملکرد شرکتهای هرمی دارد، شناسایی هکر اصلی را تقریبا غیر ممکن خواهد کرد و قربانیان را به عنوان یک مجرم سایبری نشان خواهد داد.
اما این تمام داستان نیست. هکرها از یک ترفند روانی دیگری برای ترغیب کاربران به انجام این عمل استفاده میکنند. آنها به قربانی اعلام میدارند که اگر در مدت زمان هفت روز این کار را انجام دهد کلید دستیابی به فایلهای رمزگذاری شده را در مقابل یک بیتکوین دریافت خواهد کرد. این کلید روی سروری که در اختیار باجافزارنویسان قرار دارد ذخیرهسازی شده است. اگر باج در این مدت به هکرها پرداخت نشود کلید رمزنگاری به طور خودکار از روی سرور پاک شده و دستیابی به فایلها برای همیشه غیر ممکن خواهد بود. همچنین اگر کاربر چهار مرتبه تلاش کند تا به فایلهای خود دست پیدا کند و کلید رمزگشایی را به اشتباه وارد کند در این مرتبه حالت تمامی فایلهای کاربر حذف میشوند.
عملکرد این باجافزار چگونه است؟
زمانی که یک سامانه کامپیوتری در معرض تهدید این باجافزار قرار میگیرد، باجافزار ابتدا جستجویی در سامانه انجام میدهد تا اطمینان حاصل کند باجافزار از قبل به مرحله اجرا درنیامده باشد. اگر نتایج حاصل از جستجو موفقیتآمیز باشد، به معنای آن است که اجرای باجافزار باید خاتمه پیدا کند. اما اگر سامانه هنوز به این باجافزار آلوده نشده باشد، ابتدا تصویری که قرار است در پس زمینه سیستم قربانی به نمایش گذاشته شود دانلود میشود و در ادامه با استفاده از الگوریتم رمزنگاری ۲۵۶ بیتی فایلهای روی سیستم قربانی رمزگذاری میشود. بعد از اتمام این فرآیند به انتهای فایلها فرمت فایلی .kok یا .filock افزوده میشود. در مدت زمان رمزنگاری فایلها یک پنجره نصب ظاهر میشود تا کاربر را متقاعد سازد که برنامهای در حال نصب است.
پس از آنکه رمزگذاری فایلها به اتمام رسید، باجافزار دو رشته base64 را تبدیل کرده و در یک فرمت درخواست باج در فایل restore_your_files.txt قرار میدهد. در ادامه فایل HTML در مرورگر کاربر به نمایش در آمده و یک بیتکوین از او درخواست میشود. اما در این پیام به کاربر اعلام میشود که اگر موفق شد در این مدت دو سامانه کامپیوتری را آلوده سازد و اگر آن دو نفر باج مربوطه را پرداخت کنند، کلید رمزگشایی فایلها در اختیار او قرار میگیرد. در این حالت کاربر باید به یک آدرس اینترنتی که در پیام باجخواهی به او نشان داده میشود مراجعه کند. در آن آدرس فایلی روی یک سرور که در شبکههای مخفی قرار دارد ذخیره شده که دستورات بعدی در آن قرار دارند.
بررسی سورس کدهای این باجافزار نشان میدهد روتینی در آن قرار دارد که تنها چهار مرتبه به کاربر اجازه میدهد تا کدها را درست وارد کند. بعد از چهار مرتبه تلاش فایلهای کاربر حذف خواهند شد. کارشناسان اعلام داشتهاند در حال حاضر فرآیند رمزگشایی این باجافزار امکانپذیر نیست، به دلیل اینکه هکرها دائما در حال تغییر کدها هستند.