کمیته رکن چهارم – نسخه جدیدی از باجافزار CryptoMix در حال انتشار است که ضمن تغییر نام فایلهای رمزگذاری شده، پسوند FILE. را به آنها الصاق میکند.
روشهای رمزگذاری این باجافزار نسبت به نسخههای پیشین آن تغییری نداشته است.
در نسخه جدید نیز همانند نسخه قبلی این باجافزار، فایل مربوط به اطلاعیه باجگیری HELP_INSTRUCTION.TXT_ نام دارد. در فایل مذکور از قربانی خواسته میشود که برای دریافت دستورالعمل پرداخت باج با یکی از نشانیهای زیر تماس حاصل کند:
- file1@keemail.me
- file1@protonmail.com
- file1m@yandex.com
- file1n@yandex.com
- file1@techie.com
فایل مخرب این نسخه، با نامی تصادفی در مسیر C:\ProgramData ذخیره میشود.
باجافزار CryptoMix با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف میکند:
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
همچنین این باجافزار بهمنظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخههای Windows Shadow Volume از فرامین زیر استفاده میکند:
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:\Windows\System32\cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
ضدویروسهای McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نامهای RDN/PWS-Banker و Trojan.GenericKD.6316908 شناسایی میکنند.
منبع : شبکه گستر
