ZCryptor: باج افزاری با ویژگی یک کرم

شرکت مایکروسافت هشداری با درجه اهمیت حاد (Severe) منتشر کرده که در آن در خصوص انتشار گونه ای باج افزار (Ransomware) با عنوان ZCryptor هشدار داده شده است. 

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت مایکروسافت گردانندگان باج افزار ZCryptor از طریق هرزنامه های با پیوست فایل Office حاوی ماکروی ویزوسی اقدام به توزیع باج افزار می کنند.

با اجرای فایل آلوده، بمنظور اجرای خودکار ZCryptor در هر بار راه اندازی سیستم، کلید زیر در محضرخانه (Registry) ایجاد می گردد:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}

علاوه بر ایجاد کلید فوق، میانبر زیر نیز در پوشه Startup کاربر ساخته می شود:

%User Startup%\zcrypt.lnk

این باج افزار 88 نوع پسوند فایل را رمزنگاری کرده و به آنها پسوند zcrypt را الصاق می کند.

zcrypt-file-ext

باج افزار با ایجاد فایل How to decrypt files.html و نمایش آن از قربانی می خواهد تا با برای رمزگشایی فایل ها مبلغ 1/2 بیت کوین (معادل حدود 500 دلار) را پرداخت کند.

Z2-1024x426

در صورتی که پرداخت ظرف مدت 4 روز انجام نشود، مبلغ باج به 5 بیت کوین افزایش می یابد.

از خصوصیات ویژه ZCryptor بازتولید خود از طریق حافظه های حذف شدنی و درایوهای شبکه ای است؛ این باج افزار اقدام به ساخت فایل autorun.inf و یک نسخه از خود در حافظه های حذف شدنی متصل به دستگاه می کند. هدف از این کار اجرای خودکار فایل مخرب باج افزار – بدون دخالت کاربر – در زمان اتصال حافظه به دستگاه غیرآلوده است.

این ویژگی ها سبب شده شرکت مایکروسافت این باج افزار را در دسته کرم ها (Worm) طبقه بندی کند. موضوعی که ZCryptor را در فهرست نخستین باج افزارهای با قابلیت کرمی قرار می دهد.

توضیح اینکه گونه گزارش شده ZCryptor، توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های RDN/Ransom و Trojan.GenericKD.3257805 شناسایی می شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *