ransomware alert
کمیته رکن چهارم – محققان امنیتی هشدار دادند نسخهی جدیدی از باجافزار CryptoMix کشف شده که انتهای پروندههای رمزنگاریشده، پسوند EXTE. را اضافه میکند. تقریباً یک سال است که از ظهور این باجافزار میگذرد و در این بازه بهروزرسانیهای متعددی بر روی آن انجام شده است. عمده تغییرات آن مربوط به پیغام باجخواهی و پسوندهایی است که به انتهای پروندههای رمزنگاریشده اضافه میکند ولی عملیات کلی آن ثابت باقی مانده است.
وقتی باجافزار بر روی سامانهی قربانی اجرا شد، یک پرونده را در پوشهی ApplicationData قرار میدهد. همچنین در پوشههایی که پروندههای آن رمزنگاری شده، پیغام باجخواهی قرار داده میشود. این بدافزار پس از اینکه فرآیند رمزنگاری با استفاده از الگوریتم AES را آغاز کرد، یک سری کلیدهای رجیستری را ثبت کرده، یک شناسهی منحصربفرد تولید کرده و آن را به سمت کارگزار دستور و کنترل ارسال میکند.
در پیغام باجخواهی، از قربانی خواسته شده تا با استفاده از آدرس رایانامه، با نویسندگان باجافزار ارتباط برقرار کرده و همچنین مقدار باج را در قالب بیتکوین پرداخت کنند. در نسخهی جدید، پسوند EXTE. به انتهای پروندههای رمزنگاریشده اضافه میشود. پیغام باجخواهی نیز در پروندهای با نام HELP_INSTRUCTION.TXT_ قرار دارد. این باجافزار در نسخهی قبلی خود هیچ تعامل و ارتباطی در سطح شبکه نداشته و بهطور برون-خط عمل میکرد. دو نسخهی اخیر از این باجافزار، با فاصلهی دو هفته از یکدیگر ظاهر شدهاند و به نظر میرسد نویسندگان باجافزار بسیار فعال عمل میکنند.
منبع : news.asis.io
