باج‌افزارِ جدیدِ SyncCrypt، مؤلفه‌های مخرب خود را در پرونده‌های تصویری مخفی می‌کند

کمیته رکن چهارم – خانوده‌ی جدیدی از باج‌افزارها شناسایی شده که مؤلفه‌های خود را در داخل پرونده‌های تصویری برخطِ به‌ظاهر بی‌خطر مخفی می‌کند. با بهره‌برداری از این روش، مهاجمان می‌توانند روش‌های تشخیص بدافزار را دور بزنند و از تشخیص فرار کنند. این باج‌افزار SyncCrypt نام داشته و از طریق هرزنامه توزیع می‌شود. در این هرزنامه‌ها ضمیمه‌های مخرب WSF وجود دارد که تظاهر می‌کند دادخواستی از دادگاه است.

زمانی‌که این ضمیمه اجرا می‌شود، توابع جاوا اسکریپت، پرونده‌های تصویری را از یک مکان مشخص واکشی کرده و مؤلفه‌های مخربی که در داخل آن مخفی شده را بازیابی می‌کند. مولفه‌های باج‌افزار در پرونده‌های تصویری و در قالب ZIP ذخیره می‌شوند. اگر کاربر به سادگی آدرس URL مربوط به آن‌ها را در مرورگر بازدید کند، این مؤلفه‌ها به سادگی بازیابی نمی‌شوند. 

پرونده‌ی مخرب WSF که در هرزنامه وجود دارد، یک وظیفه‌ی زمان‌بندی‌شده‌ی ویندوز را با نام Sync ایجاد می‌کند. زمانی‌که پرونده‌ی sync.exe اجرا می‌شود، سامانه‌ی قربانی را پویش کرده و به دنبال نوع خاصی از پرونده‌ها می‌گردد تا آن‌ها را با استفاده از الگوریتم AES رمزنگاری کند. این باج‌افزار در ادامه نیز کلیدهای AES را با استفاده از یک کلید RSA با طول ۴۰۹۶ بیت، رمزنگاری می‌کند.

این باج‌افزار بیش از ۳۵۰ نوع پرونده را هدف قرار داده و پس از رمزنگاری، به انتهای آن‌ها پسوند kk. را اضافه می‌کند. این تهدید از رمزنگاری پرونده‌ها در برخی پوشه‌ها صرف‌نظر می‌کند. از جمله‌ی این پوشه‌ها می‌توان \windows\ ،\program files (x۸۶)\ ،\program files\ ،\programdata\ ،\winnt\ ،\system volume information\ ،\desktop\readme\ و \$recycle.bin\ را نام برد.

باج‌افزار برای ارائه‌ی کلیدهای رمزگشایی برای بازیابی پرونده‌ها، تقریباً ۴۳۰ دلار باج درخواست می‌کند. قدرت تخریبی این باج‌افزار بسیار بالاست چرا که می‌تواند روش‎های تشخیصی را دور بزند. از ۵۸ شرکت‌کننده که در VirusTotal وجود دارند، تنها یک مورد توانسته است پرونده‌های تصویری مخرب را شناسایی کند. از سویی دیگر، نرخ شناسایی پرونده‌ی Sync.exe برابر با ۲۸ از ۶۳ است. 

برای جلوگیری از آلوده شدن به باج‌افزارها، همچنان ضروری است که کاربران هنگام دریافت رایانامه از منابع ناشناس بیشتر احتیاط کنند. پرونده‌های ضمیمه‌ را باز نکرده و بر روی آدرس‌ها و پیوندهای موجود در رایانامه‌ها کلیک نکنند. همواره از پرونده‌های خود به‌طور مداوم نسخه‌ی پشتیبان تهیه کنید تا در صورت آلوده شدن به باج‌افزار، بتوانید آن‌ها را بازیابی کنید. همچنین اگر سامانه عامل و برنامه‌های خود را به‌روز نگه دارید، شانس آلوده شدن به باج‌افزار را کاهش می‌دهید

منبع : asis