نماد سایت اتاق خبر شبکه گستر

باج‌افزاری حساس به فایل‌های باز

نسخه جدیدی از باج‌افزار Matrix در حال انتشار است که ضمن رمزگذاری فایل‌های پراستفاده کاربر، پسوند FOX را به آنها الصاق می‌کند. یکی از ویژگی‌های جالب این باج‌افزار تلاش فراوان آن برای اطمینان یافتن از بسته بودن فایل‌ها پیش از رمزگذاری آنهاست. عاملی که در نتیجه آن سرعت رمزگذاری این باج‌افزار را به شدت کاهش داده است.

به گزارش شرکت مهندسی شبکه گستر، اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با گذرواژه ضعیف و اجرای فایل مخرب باج‌افزار اصلی‌ترین روش انتشار این نسخه جدید از Matrix است.

متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.

همانند نسخه‌های پیشین Matrix، این نسخه نیز به کرات اقدام به برقراری ارتباطات با سرور فرماندهی خود نموده و مهاجمان را از روند پیشرفت فرآیند رمزگذاری آگاه می‌کند.

در جریان فرآیند رمزگزاری دو کنسول باز می‌گردد. در یکی از آنها وضعیت پروسه رمزگذاری نمایش داده می‌شود و در دیگری نشانی‌های شبکه‌ای حاوی پوشه‌های باز به اشتراک گذاشته شده فهرست می‌شود.

در ادامه یک فایل از نوع Batch بر روی دستگاه کپی می‌شود. وظیفه این فایل بستن فایلی است که قرار است رمزگذاری شود. برای این منظور تمامی ویژگی‌های فایل (Attribute) حذف شده، دسترسی‌ها و مالکیت آن تغییر یافته و سپس با بهره‌گیری از برنامه معتبر Sysinternals Handle، فایل مورد نظر بسته می‌شود. بدیهی است که باز بودن یک فایل مانع از رمزگذاری شدن آن توسط باج افزار می‌شود.

پیش از رمزگذاری هر فایل، اسکریپت Batch مذکور بر روی آن اجرا می‌شود. پس از رمزگذاری نیز نام آن تغییر یافته و پسوند FOX به آن الصاق می‌گردد.

در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمزگذاری شده اطلاعیه باج‌گیری Matrix با عنوان FOX_README#.rtf# کپی می‌شود. در این اطلاعیه از کاربر خواسته می‌شود تا از طریق یکی از ایمیل‌های زیر با مهاجمان ارتباط برقرار کند:

PabFox@protonmail.com
FoxHelp@cock.li
FoxHelp@tutanota.com

پس‌زمینه سیستم عامل نیز به تصویری که به نوعی نسخه‌ای دیگر از اطلاعیه باج گیری است تغییر می‌یابد (شکل زیر).

در پایان پروسه رمزگذاری یک اسکریپت VBS با نامی تصادفی در پوشه %AppData% کپی می‌شود. وظیفه این اسکریپت ثبت یک فرمان زمانبندی شده با عنوان DSHCA ‌است که با اجرا شدن آن یک فایل Batch در همان مسیر مذکور با سطح دسترسی Administrator اقدام به حذف نسخه‌های موسوم به Shadow، غیرفعال کردن Windows Recovery Startup و حذف فایل‌های متعلق به باج‌افزار و ردپاهای خود بر روی دستگاه می‌کند.

نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

Bitdefender:
   – Generic.Ransom.Matrix.22720098

McAfee:
   – Trojan-FQAE!76B640AA0035

Sophos AV:
   – Troj/Matrix-H

همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

خروج از نسخه موبایل