محققان از شناسایی بدافزاری با عنوان StalinLocker خبر دادهاند که با مسدودسازی دسترسی به دستگاه، به کاربر فرصتی ده دقیقهای برای وارد کردن کد صحیح میدهد و اگر قربانی موفق به انجام این کار نشود، اقدام به حذف فایلها میکند.
به گزارش شرکت مهندسی شبکه گستر، پنجرهای که دسترسی به دستگاه را مسدود میکند حاوی تصویری از ژوزف استالین است که نمونهای از آن در شکل زیر قابل مشاهده است.
در زمان اجرای StalinLocker، سرود ملی اتحاد جماهیر شوروی سابق پخش میشود.
بدافزار StalinLocker تغییرات زیر را بر روی دستگاه اعمال میکند:
- فایل مخرب خود را با نام stalin.exe در مسیر زیر ذخیره میکند:
%UserProfile%\AppData\Local
- فایل USSR_Anthem.mp3 را نیز در مسیر مذکور کپی کرده و آن را پخش میکند.
- با ایجاد کلیدی با مشخصات زیر در محضرخانه، خود را در هر بار راهاندازی دستگاه به اجرا در میآورد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
- بجز پروسههای Skype و Discord سایر پروسههای اجرا شده بر روی دستگاه را از جمله دو پروسه Explorer.exe و taskmgr.exe متوقف میکند.
- فرمانی زمانبندی شده با عنوان Driver Update را که وظیفه آن اجرای فایل stalin.exe است تعریف میکند که البته گفته میشود که این بخش از کد آن حاوی خطاهای نرمافزاری است.
بدافزار StalinLocker با نمایش تصویر نشان داده شده در ابتدای این خبر دسترسی کاربر به دستگاه را مسدود میکند و بنابراین میتوان آن را در دسته باجافزارهای قفلکننده صفحه نمایش قرار داد. با این حال بجای اخاذی، به قربانی ده دقیقه فرصت میدهد تا کد صحیح را وارد کند و در غیر اینصورت اقدام به حذف فایلهای ذخیره شده بر روی درایوهای A تا Z میکند.
به گفته محققان کاشف این بدافزار، کدی که کاربر باید آن را در پنجره بدافزار وارد کند بر اساس فرمول زیر حاصل میشود:
تاریخ اجرای بدافزار – 30/12/1922
به نظر میرسد که StalinLocker فعلاً در مراحل بررسی و آزمایش توسط نویسنده یا نویسندگان آن قرار دارد. با این حال، توسط ضدویروس های زیر قابل شناسایی میباشد:
Bitdefender
Trojan.GenericKD.30759243
McAfee
Artemis!61C003BAC228
Sophos
Mal/MSIL-BA