بهره‌گیری یک باج‌افزار جدید از DiskCryptor

باج‌افزار جدیدی شناسایی شده‌است که از DiskCryptor استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باج‌افزار جدیدی کشف شده‌است که DiskCryptor را روی رایانه‌های آلوده، نصب و رایانه قربانی را مجدد راه‌اندازی می‌کند. هنگام راه‌اندازی مجدد، قربانیان یک پیغام باج‌خواهی مشاهده می‌کنند که به آنها اعلام می‌کند دیسک حافظه آنها رمزگذاری شده‌است و نحوه پرداخت باج نیز در آن توضیح داده شده‌است.

DiskCryptor یک برنامه رمزگذاری است که کل دیسک را رمزگذاری می‌کند و سپس کاربر را وادار می‌کند تا یک گذرواژه در هنگام بارگذاری مجدد وارد کند. فرایند درخواست گذرواژه قبل از بالا آمدن ویندوز انجام می‌شود و کاربر باید گذرواژه را ارائه کند تا فرایند عادی بوت رایانه آغاز شود.

این باج‌افزار که توسط MalwareHunterTeam کشف شده‌است به‌طور دستی یا از طریق یک اسکریپت اجرا می‌شود. احتمالا هکرها از طریق سرویس Remote Desktop وارد سیستم می‌شوند و به‌صورت دستی باج‌افزار را نصب می‌کنند. در هنگام فرایند نصب، یک فایل گزارش در آدرس C:\Users\Public\myLog.txt ایجاد می‌شود که مرحله فعلی فرایند رمزگذاری را نشان می‌دهد.
پس از اینکه کل حافظه رمزگذاری شد، رایانه راه‌اندازی مجدد می‌شود و پیامی برای قربانی نمایش داده‌می‌شود که در آن آدرس mcrypt2018[at]yandex[dot]com برای دستورالعمل بازیابی اطلاعات ارائه شده‌است. در این صفحه از کاربر گذرواژه‌ای درخواست می‌شود که تا بازیابی اطلاعات انجام شود.

این اولین‌باری نیست که از DiskCryptor در یک باج‌افزار استفاده شده‌است. در سال ۲۰۱۶ از DiskCryptor در یک عملیات باج‌افزاری با نام HDDCryptor (که با Mamba نیز شناخته می‌شود) استفاده شده‌است.
در نوامبر سال ۲۰۱۶ تعداد ۲۱۱۲ رایانه متعلق به سیستم راه‌آهن شهری سان فرانسیسکو با باج‌افزار Mamba آلوده شدند. این اتفاق به طور موثر سیستم‌های پرداخت مترو را تعطیل کرد و باعث شد مترو این شهر به‌صورت رایگان در طول تعطیلات آخر هفته به مسافران خدمت ارائه کند.