کمیته رکن چهارم – نسخه جدیدی از باجافزار Locky در حال انتشار است که به فایل های رمزگذاری شده پسوند asasin. را الصاق میکند. به نظر میرسد پسوند مذکور برگرفته از کلمه Assassin به معنای قاتل است که حالا به دلیل اشتباه املایی یا شاید به سبب کوتاه کردن تعداد نویسههای پسوند به این صورت استفاده شده است.
روش انتشار این نسخه از باجافزار هرزنامههایی با عناوینی همچون Document invoice_95649_sign_and_return.pdf is complete است. در نمونه بررسی شده در این گزارش نشانی فرستنده هرزنامه documents@rightsignature.com بوده است.
مشابه چند نسخه پیشین این باجافزار پسوند این هرزنامهها فایلی با پسوند ۷zip یا ۷z است که در آن یک فایل VBS جاسازی شده است. وظیفه فایل VBS دریافت فایل مخرب Locky از اینترنت و اجرای آن بر روی دستگاه است.
این فایل نام و پسوند فایلهای رمزگذاری شده را بر اساس الگوی زیر تغییر میدهد:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin
به عنوان نمونه، فایلی با نام ۱ و پسوند png پس از رمزگذاری شدن توسط این نسخه از Locky به E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin تغییر نام میدهد.
پس از رمز شدن فایلهای کاربر، فایل مخرب دریافت شده در ابتدا فرآیند رمزنگاری از روی دستگاه حذف شده و اطلاعیه باجگیری ظاهر میشود.
فایلهای مربوط به اطلاعیه باجگیری در این نسخه asasin.htm و asasin.bmp نام دارند.
توضیح اینکه نمونه بررسی شده در این گزارش با نام های زیر شناسایی می شود:
McAfee
– RDN/Ransom
– VBS/Downloader.ea
– Ransomware-GHE!DBC0AA7E70DF
Bitdefender
– Trojan.GenericKD.12501554
– VB:Trojan.VBS.Agent.AOM
– Trojan.GenericKD.6104564
– Trojan.GenericKD.12478391
منبع : شبکه گستر
