کمیته رکن چهارم – نسخه جدیدی از باجافزار CryptoMix در حال انتشار است که پسوند EMPTY. را به فایلهای رمزگذاری شده الصاق میکند. این در حالی است که نویسنده یا نویسندگان این باجافزار در نسخه پیشین از کلمه ERROR به عنوان پسوند استفاده میکردهاند.
روشهای دستدرازی این باجافزار نسبت به نسخه پیشین آن تغییرات قابل توجهی نداشته است.
در نسخه جدید فایل مربوط به اطلاعیه باجگیری به HELP_INSTRUCTION.TXT_ تغییر نام یافته است. در فایل مذکور از قربانی خواسته میشود که برای دریافت دستورالعمل پرداخت باج با یکی از نشانیهای زیر تماس حاصل کند:
- empty01@techmail.info
- empty02@yahooweb.co
- empty003@protonmail.com
همچنین این نسخه مجهز به ۱۱ کلید رمزگذاری عمومی مبتنی بر الگوریتم RSA-1024 است که از آنها برای رمزنگاری کلید AES ایجاد شده در فرآیند رمز کردن فایلهای کاربر استفاده شده است.
بنابراین این باجافزار قادر است حتی بدون اتصال به اینترنت و به صورت برون خط نیز فایلهای کاربری را رمز کند.
نسخه مذکور با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف میکند:
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
این باجافزار بهمنظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخههای Windows Shadow Volume از فرامین زیر استفاده میکند:
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
ضدویروسهای McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نامهای RDN/Ransom و Trojan.GenericKD.5878918 شناسایی میکند.
