تحلیل باج‌افزار جدیدی که کاربران خانگی را هدف قرار می‌دهد

به گزارش خبرنگار علمی باشگاه خبرنگاران پویا؛ فعالیت باج‌افزار جدید PSCrypt در اواخر ماه آوریل سال 2018 میلادی مشاهده شده است؛ این باج‌افزار ابتدا در سال 2017 کشف شد و اغلب کاربران خانگی و سازمان‌های اوکراین را مورد هدف قرار داده بود.

به نظر می‌رسد این باج‌افزار از خانواده باج‌افزارهای (GI) که مخفف Globelmposter است، باشد.

مشاهدات حاکی از آن است که باج‌افزار پس از نفوذ به سیستم قربانی و اتمام فرآیند رمزگذاری فایل‌ها، به انتهای آنها پسوند docs. را اضافه می‌کند و پیغام باج‌خواهی را به صورت یک فایل با نام docs document.html در هر مکانی که رمزگذاری انجام شده و همچنین بر روی دسکتاپ قربانی قرار می‌دهد.

نکته‌ای که درباره این باج‌افزار وجود دارد این است که این باج‌افزار بعد از رمزگذاری و قرار دادن پیغام باج‌خواهی، فایل اجرایی خود را از بین می‌برد.

مشخصات فایل اجرایی :

فایل اجرایی این باج‌افزار دارای سه بخش است:

تحلیل پویا :

برای بررسی عمیق‌تر باج‌افزار PSCrypt، مرکز ماهر فایل اجرایی آن را در محیط آزمایشگاهی اجرا کرده تا عملکرد باج‌افزار را از نزدیک مورد بررسی قرار دهد؛ فرآیند اجرای این باج‌افزار بسیار ساده است.

پس از ورود به سیستم و بررسی محیط آن، اقدام به رمزگذاری فایل‌ها با استفاده از الگوریتم رمزنگاری خود می‌کند؛ این باج‌افزار تمام فایل‌ها به غیر از فایل‌هایی با فرمت زیر را رمزگذاری می‌کند:

پس از اتمام رمزنگاری فایل‌های سیستم قربانی به شکل زیر تغییر پیدا می‌کنند:

باج‌افزار PSCrypt در تمام پوشه‌هایی که فایل‌های سیستم قربانی را رمزگذاری کرده، یک فایل با نام docs document.html که در حقیقت همان پیغام باج‌خواهی است، اضافه می‌کند که محتوای آن در تصویر زیر نمایش داده شده است:

پیغام باج‌خواهی به دو زبان اوکراینی و انگلیسی نمایش داده شده است؛ در زبان اوکراینی آدرس کیف پول بیت‌کوین به قربانی معرفی شده و 150 دلار از قربانی برای رمزگشایی فایل‌ها درخواست شده که طبق بررسی‌های انجام شده، تاکنون این کیف پول هیچ تراکنشی نداشته است.

شناسایی:

در حال حاضر تعداد 52 مورد از 68 آنتی‌ویروس و آنتی بدافزار موجود در سامانه VirusTotal قادر به شناسایی این باج‌افزار بوده و آن را حذف یا غیرفعال می‌کنند.

انتهای پیام/