نسخه جدیدی از باجافزار CrySis در حال انتشار است که پس از رمزگذاری فایلهای پراستفاده کاربر، پسوند btc را به آنها الصاق میکند.
در روزهای اخیر گزارشهایی از آلودگی سازمانهای ایرانی به این نسخه از CrySis به شرکت مهندسی شبکه گستر واصل شده است.
این چندمین بار است که کاربران و مؤسسات ایرانی هدف باجافزار CrySis قرار میگیرند.
باجافزار CrySis – که با نامهای Dharma و Wallet نیز شناخته میشود – از جمله بدافزارهایی است که صاحبان آن با نفوذ به سیستمها از طریق پودمان RDP اقدام به آلودهسازی آنها میکنند. اما در این نسخه از CrySis، مهاجمان با ایمیلهای با پیوست / لینک مخرب کاربران را هدف قرار دادهاند.
نسخه جدید، علاوه بر تغییر پسوند فایل رمزگذاری شده نام آن را نیز بر اساس الگوی زیر تغییر میدهد:
- [Original File Name].[Original File Extension].<id>-<id with 8 random hexadecimal characters>.[writehere@qq.com].btc
برای مثال نام و پسوند فایل test.jpg پس از رمزگذاری شدن به test.jpg.id-B99B0F20.[writehere@qq.com].btc تغییر داده میشود.
فایل اطلاعیه باجگیری این نسخه از باجافزار، FILES ENCRYPTED.txt نام دارد. در فایل مذکور از قربانی خواسته میشود تا جهت دریافت دستورالعمل دریافت باج از طریق ایمیل writehere@qq.com با مهاجمان ارتباط برقرار کند.
برای ایمن ماندن از گزند باجافزارها، مطالعه این راهنما به تمامی کاربران و راهبران شبکه توصیه میشود.