انتشار نسخه‌ای جدید از باج‌افزار CryptoMix

به گزارش شرکت مهندسی شبکه گستر، نسخه جدیدی از باج‌افزار CryptoMix در حال انتشار است که پسوند EMPTY. را به فایل‌های رمزگذاری شده الصاق می‌کند. این در حالی است که نویسنده یا نویسندگان این باج‌افزار در نسخه پیشین از کلمه ERROR به عنوان پسوند استفاده می‌کرده‌اند.

روش‌های دست‌درازی این باج‌افزار نسبت به نسخه پیشین آن تغییرات قابل توجهی نداشته است.

در نسخه جدید فایل مربوط به اطلاعیه باج‌گیری به HELP_INSTRUCTION.TXT_ تغییر نام یافته است. در فایل مذکور از قربانی خواسته می‌شود که برای دریافت دستورالعمل پرداخت باج با یکی از نشانی‌های زیر تماس حاصل کند:

• empty01@techmail.info
• empty02@yahooweb.co
• empty003@protonmail.com

همچنین این نسخه مجهز به 11 کلید رمزگذاری عمومی مبتنی بر الگوریتم RSA-1024 است که از آنها برای رمزنگاری کلید AES ایجاد شده در فرآیند رمز کردن فایل‌های کاربر استفاده شده است.

بنابراین این باج‌افزار قادر است حتی بدون اتصال به اینترنت و به صورت برون خط نیز فایل‌های کاربری را رمز کند.

نسخه مذکور با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف می‌کند:

• sc stop wscsvc
• sc stop WinDefend
• sc stop wuauserv
• sc stop BITS
• sc stop ERSvc
• sc stop WerSvc

این باج‌افزار به‌منظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخه‌های Windows Shadow Volume از فرامین زیر استفاده می‌کند:

• cmd.exe /C bcdedit /set {default} recoveryenabled No
• cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
• C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

ضدویروس‌های McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نام‌های RDN/Ransom و Trojan.GenericKD.5878918 شناسایی می‌کند.