به گزارش خبرنگار اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان، باج‌افزار PadCrypt که به وسیله‌ی محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانواده‌های باج‌افزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناخته‌شده‌ی این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co، و cloudnet[.]onlineاز کار افتاده‌اند و بنابراین این باج‌افزار دیگر تهدیدی عمده محسوب نمی‌شود.

اکنون یک باج‌افزار دیگر: PadCrypt؛ که به نظر می‌رسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».

گفت‌وگوی زنده، که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصر‌به‌فرد این باج‌افزار PadCrypt نیست. این بدافزار با یک حذف‌کننده‌ی خودکار نیز وارد عمل می‌شود، با این حال این ابزار پرونده‌‌هایی را که به وسیله‌ی این بدافزار رمزگذاری شده‌اند، رمزگشایی نمی‌کند.

Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق می‌کند می‌گوید: «قابلیتی نظیر گفت‌وگوی زنده می‌تواند به صورت بالقوه میزان پرداخت‌ها را بالا ببرد، چرا که قربانی به این شکل «پشتیبانی» دریافت می‌کند و در فرآیند پیچیده‌ی انجام پرداخت راهنمایی می‌شود. ما اکنون یک باج‌افزار را دیده‌ایم که به شما اجازه می‌دهد تا یک پرونده‌‌ی اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما می‌بینیم یک باج‌افزار یک حذف‌کننده‌ی خودکار را به همراه دارد. به محض این‌که این حذف‌کننده‌ی خودکار اجرا شود، همه‌ی یادداشت‌های این بدافزار و پرونده‌‌هایی که به آلودگی Padcrypt به نوعی مربوط می شوند، از بین می‌برد. اما متأسفانه همه‌ی پرونده‌ها به صورت رمزگذاری شده در جای خود باقی می‌مانند.»

PadCrypt از طریق هرزنامه گسترش می‌یابد. رایانامه‌ی حاوی آن شامل یک پیوند به یک پرونده‌ی zip است و در بردارنده‌ی پرونده‌ای است که تلاش می‌کند خود را به عنوان یک پرونده‌ی‌ پی‌دی‌اف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی می‌کند که این پرونده‌ همان چیزی نیست که خود را معرفی می‌کند. اگر این پرونده‌ اجرا شود، بدافزار به همراه یک ابزار گفت‌وگوی زنده و قابلیت حذف خودکار نصب می‌شود.

PadCrypt به بررسی درایورهای سامانه برای انطباق آن‌ها با فهرست پسوندهای تعریف‌شده در خود می‌کند، که معمولاً پسوندهای معمول نظیر .doc، jpg، gifو … هستند. این پرونده‌ها با استفاده از AES رمزنگاری می‌شوند و پرونده‌‌های رمزگذاری‌شده با پسوند .enc قرار می‌گیرند. Bleeping Computer می‌گوید، همچنین این باج‌افزار نام‌های پرونده‌‌های رمزگذاری‌شده را در یک پرونده‌ی‌ متنی text ذخیره می‌کند. PadCrypt علاوه بر این کار نسخه‌های موقت این پرونده‌ها در درایوهای سامانه‌‌های دیگر آسیب‌دیده را پاک می‌کند. در نهایت این بدافزار یک پرونده‌ی‌ متنی Readme با دستورالعمل نحوه‌ی پرداخت باج ایجاد می‌کند.

Abrams می‌گوید: «صفحه‌ی این باج‌افزار دستورالعمل‌هایی را نشان می‌دهد که چگونه می‌توان ۳۵۰ دلار یا ۸ بیت‌کوین را از طریق PaySafeCard یا Ukash پرداخت نمود. این دستورالعمل علاوه بر این اظهار می‌دارد که شما ۹۶ ساعت فرصت دارید تا پرداخت را انجام دهید و یا کلید رمز از بین خواهد رفت. در این لحظه، هنوز مشخص نیست که راهی برای رمزگشایی این پرونده‌ها به صورت رایگان وجود داشته باشد.»

باج‌افزارها همچنان به عنوان تهدیدی آزاردهنده برای تجارت مطرح هستند. آخرین حمله‌ی سطح بالا از این دست در روز جمعه افشاء شد، که در آن مرکز پزشکی Presbyterian هالیوود اعلام کرد که سامانه‌های آن به وسیله‌ی یک باج‌افزار مورد حمله قرار گرفته و پرونده‌‌های بیماران غیرقابل دسترس شده‌اند. NBC در لس‌‌آنجلس از مقامات بیمارستان نقل می‌کند که فعالیت‌های روزانه آن‌ها تحت تأثیر قرار گرفته است و برخی از بیماران برای مداوا به بیمارستان‌های دیگر فرستاده شده‌اند، زیرا برخی از سامانه‌های حیاتی غیرقابل دسترسی بوده‌اند. NBC می‌گوید که در این بین مهاجمان درخواست بیش از ۳ میلیون دلار را به عنوان باج کرده‌اند.

هفته‌ی گذشته در کنفرانس تحلیل امنیت آزمایشگاه کسپرسکی، Sergey Lozhkin یک محقق امنیتی شرح داد که چگونه او، با اجازه‌ی مقامات بیمارستان، قادر بوده است تا به یک شبکه‌ی فن‌آوری بیمارستانی در مسکو از طریق تنظیمات ضعیف مودم‌ وای‌فای آن دسترسی پیدا کند. به این شکل او توانسته است که به رابط مدیریتی نا امنی دسترسی پیدا کند، که با استفاده از آن می‌تواند دستگاه‌ها و سامانه‌های پزشکی را که به وسیله‌ی پزشکان برای تشخیص و درمان استفاده می‌شوند، در اختیار گیرد.

انتهای پیام/