انتشار نسخه جدیدی از باج‌افزار CryptoMix

به گزارش شرکت مهندسی شبکه گستر،نسخه جدیدی از باج‌افزار CryptoMix در حال انتشار است که ضمن تغییر نام فایل‌های رمزگذاری شده، پسوند FILE. را به آنها الصاق می‌کند.

روش‌های رمزگذاری این باج‌افزار نسبت به نسخه‌های پیشین آن تغییری نداشته است.

در نسخه جدید نیز همانند نسخه قبلی این باج‌افزار، فایل مربوط به اطلاعیه باج‌گیری HELP_INSTRUCTION.TXT_ نام دارد. در فایل مذکور از قربانی خواسته می‌شود که برای دریافت دستورالعمل پرداخت باج با یکی از نشانی‌های زیر تماس حاصل کند:

  • file1@keemail.me
  • file1@protonmail.com
  • file1m@yandex.com
  • file1n@yandex.com
  • file1@techie.com

فایل مخرب این نسخه، با نامی تصادفی در مسیر C:\ProgramData ذخیره می‌شود.

باج‌افزار CryptoMix با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف می‌کند:

  • sc stop wscsvc
  • sc stop WinDefend
  • sc stop wuauserv
  • sc stop BITS
  • sc stop ERSvc
  • sc stop WerSvc

همچنین این باج‌افزار به‌منظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخه‌های Windows Shadow Volume از فرامین زیر استفاده می‌کند:

  • cmd.exe /C bcdedit /set {default} recoveryenabled No
  • cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • C:\Windows\System32\cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet

ضدویروس‌های McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نام‌های RDN/PWS-Banker و Trojan.GenericKD.6316908 شناسایی می‌کنند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *