باج افزار ایرانی

نسخه جدید باج‌افزار CrySis در ایران قربانی می‌گیرد

نسخه جدیدی از باج‌افزار CrySis در حال انتشار است که پس از رمزگذاری فایل‌های پراستفاده کاربر به آنها پسوند bip را الصاق می‌کند.

در روزهای اخیر نمونه‌هایی از آلودگی به این نسخه از CrySis به شرکت مهندسی شبکه گستر واصل شده است.

این چندمین بار است که کاربران و مؤسسات ایرانی هدف باج‌افزار CrySis قرار می‌گیرند.

باج‌افزار CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP اقدام به آلوده‌سازی آنها می‌کنند.

نسخه جدید، علاوه بر تغییر پسوند فایل رمزگذاری شده نام آن را نیز بر اساس الگوی زیر تغییر می‌دهد:

  • [Original File Name].[Original File Extension].id-[ID].[peekabooo@qq.com].bip

برای مثال نام و پسوند فایل Setup.exe پس از رمزگذاری شدن به Setup.exe.id-EEB4B6C8.[peekabooo@qq.com].bip تغییر داده می‌شود.

اطلاعیه باج گیری این نسخه از باج‌افزار CrySis در قالب دو فایل نمایش داده می‌شود. فایل نخست با نام Info.hta در زمان ورود کاربر به دستگاه اجرا شده و سبب ظاهر شدن اطلاعیه باج‌گیری می‌گردد. فایل دوم نیز FILES ENCRYPTED.txt نام دارد که بر روی Desktop کپی می‌شود.

در هر دو فایل از قربانی خواسته می‌شود تا جهت دریافت دستورالعمل دریافت باج از طریق ایمیل peekabooo@qq.com با مهاجمان ارتباط برقرار کند.

همانطور که اشاره شد روش اصلی انتشار باج‌افزار CrySis بهره‌گیری مهاجمان آن از پودمان پراستفاده RDP است. بنابراین به تمامی مدیران و راهبران شبکه مطالعه این راهنما توصیه می‌شود.

لازم به ذکر است که نسخه بررسی شده در این خبر با نام‌های زیر توسط ضدویروس‌های Bitdefender و McAfee قابل شناسایی می‌باشد:

Bitdefender
   – Trojan.Ransom.Crysis.E

McAfee
   – Ransom-FBV!FD7D718213AD

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *