انتشار نسخه جدیدی از باج‌افزار BTCWare

نسخه جدیدی از باج‌افزار BTCWare در حال انتشار است که به فایل‌های رمزگذاری شده پسوند wyvern. را الصاق می‌کند.

اتصال از راه دور از طریق پودمان Remote Desktop به دستگاه‌های با گذرواژه ضعیف و اجرای فایل مخرب باج‌افزار اصلی‌ترین روش انتشار BTCWare بوده است.

به گزارش شرکت مهندسی شبکه گستر، در نسخه جدید نیز همانند نسخه قبلی فایل اطلاعیه باج‌گیری، HELP.hta نام دارد. در این فایل از قربانی خواسته می‌شود برای دریافت روال پرداخت باج با ایمیل decryptorx@cock.li تماس حاصل کند.

همچنین یکی از تغییرات اعمال شده در نسخه جدید BTCWare چسباندن عبارت email]-id-[id].wyvern]. به پسوند فایل‌های رمزگذاری شده است که نمونه ای از آن در شکل زیر قابل مشاهده است.

عملکرد باج‌افزار در مقایسه با نسخه‌های پیشین آن تغییر خاصی نداشته است.

نمونه بررسی شده در این خبر توسط ضدویروس‌های McAfee و Bitdefender به ترتیب با نام‌های Ransom-BTCWare!E6A91B479E03 و Gen:Variant.Ransom.BTCWare.34 شناسایی می‌شود.