به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، نمونه جدیدی از باج‌افزار CryptoMix به تازگی کشف شده است که پسوند CLOP. یا CIOP. را به فایل‌های رمز شده اضافه می‌کند. نکته قابل توجه درباره این باج‌افزار این است که این نمونه به جای رایانه‌های فردی، کل شبکه را آلوده می‌کند.

به نقل از وب‌سایت BleepingComputer، این نمونه از طریق فایل‌های اجرایی که با یک امضای دیجیتال امضا شده‌اند، توزیع می‌شود. این‌کار باعث می‌شود تا بدافزار قانونی به نظر برسد و در نتیجه بتواند برنامه‌های امنیتی را دور بزند. در تحلیلی که توسط یک پژوهشگر امنیتی انجام شده است، این باج‌افزار چندین فرایند پردازشی و سرویس ویندوز را متوقف می‌کند تا نرم‌افزارهای ضدویروس را غیرفعال کند و تمامی فایل‌ها را ببندد تا برای رمزگذاری فایل‌ها آماده شود. مثال‌هایی از فرایندهای پردازشی که متوقف می‌شوند مواردی از قبیل Microsoft Exchange، Microsoft SQL Server، MySQL، BackupExec و غیره هستند.

این نمونه یک فایل batch با نام clearnetworkdns_۱۱-۲۲-۳۳.bat ایجاد می‌کند که پس از اجرای باج‌افزار اجرا می‌شود. این فایل سرویس تعمیر خودکار ویندوز را غیرفعال می‌کند و فایل‌های shadow volume را حذف و سپس اندازه آن‌ها را تغییر می‌دهد. در ادامه فایل‌های قربانی رمز می‌شوند و پسوند Clop. یا CIop. به آن‌ها اضافه می‌شود. فایل باج‌خواهی با نام CIopReadMe.txt نیز ایجاد می‌شود که جزئیات پرداخت باج در آن درج شده است. ایمیل‌های unlock@eqaltech[.]su، unlock@royalmail[.]su و kensgilbomet@protonmail[.]com برای ارتباط با مهاجمین در فایل باج‌خواهی درج شده‌اند.

متاسفانه در حال حاضر راهی برای رمزگشایی فایل‌ها بصورت رایگان وجود ندارد. توصیه می‌شود با پیروی از دستورالعمل‌های امنیتی از نفوذ چنین بدافزارهای جلوگیری شود.

انتهای پیام/