استالین در یک بدافزار حذف کننده فایل

محققان از شناسایی بدافزاری با عنوان StalinLocker خبر داده‌اند که با مسدودسازی دسترسی به دستگاه، به کاربر فرصتی ده دقیقه‌ای برای وارد کردن کد صحیح می‌دهد و اگر قربانی موفق به انجام این کار نشود، اقدام به حذف فایل‌ها می‌کند.

به گزارش شرکت مهندسی شبکه گستر، پنجره‌ای که دسترسی به دستگاه را مسدود می‌کند حاوی تصویری از ژوزف استالین است که نمونه‌ای از آن در شکل زیر قابل مشاهده است.

در زمان اجرای StalinLocker، سرود ملی اتحاد جماهیر شوروی سابق پخش می‌شود.

بدافزار StalinLocker تغییرات زیر را بر روی دستگاه اعمال می‌کند:

• فایل مخرب خود را با نام stalin.exe در مسیر زیر ذخیره می‌کند:

%UserProfile%\AppData\Local

• فایل USSR_Anthem.mp3 را نیز در مسیر مذکور کپی کرده و آن را پخش می‌کند.
• با ایجاد کلیدی با مشخصات زیر در محضرخانه، خود را در هر بار راه‌اندازی دستگاه به اجرا در می‌آورد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe

• بجز پروسه‌های Skype و Discord سایر پروسه‌های اجرا شده بر روی دستگاه را از جمله دو پروسه Explorer.exe و taskmgr.exe متوقف می‌کند.
• فرمانی زمانبندی شده با عنوان Driver Update را که وظیفه آن اجرای فایل stalin.exe است تعریف می‌کند که البته گفته می‌شود که این بخش از کد آن حاوی خطاهای نرم‌افزاری است.

بدافزار StalinLocker با نمایش تصویر نشان داده شده در ابتدای این خبر دسترسی کاربر به دستگاه را مسدود می‌کند و بنابراین می‌توان آن را در دسته باج‌افزارهای قفل‌کننده صفحه نمایش قرار داد. با این حال بجای اخاذی، به قربانی ده دقیقه فرصت می‌دهد تا کد صحیح را وارد کند و در غیر این‌صورت اقدام به حذف فایل‌های ذخیره شده بر روی درایوهای A تا Z می‌کند.

به گفته محققان کاشف این بدافزار، کدی که کاربر باید آن را در پنجره بدافزار وارد کند بر اساس فرمول زیر حاصل می‌شود:

تاریخ اجرای بدافزار – 30/12/1922

به نظر می‌رسد که StalinLocker فعلاً در مراحل بررسی و آزمایش توسط نویسنده یا نویسندگان آن قرار دارد. با این حال، توسط ضدویروس های زیر قابل شناسایی می‌باشد:

Bitdefender
   Trojan.GenericKD.30759243

McAfee
   Artemis!61C003BAC228

Sophos
   Mal/MSIL-BA