باجافزار جدیدی شناسایی شدهاست که از DiskCryptor استفاده میکند.
منبع : مرکز مدیریت راهبردی افتا
باجافزار جدیدی شناسایی شدهاست که از DiskCryptor استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باجافزار جدیدی کشف شدهاست که DiskCryptor را روی رایانههای آلوده، نصب و رایانه قربانی را مجدد راهاندازی میکند. هنگام راهاندازی مجدد، قربانیان یک پیغام باجخواهی مشاهده میکنند که به آنها اعلام میکند دیسک حافظه آنها رمزگذاری شدهاست و نحوه پرداخت باج نیز در آن توضیح داده شدهاست.
DiskCryptor یک برنامه رمزگذاری است که کل دیسک را رمزگذاری میکند و سپس کاربر را وادار میکند تا یک گذرواژه در هنگام بارگذاری مجدد وارد کند. فرایند درخواست گذرواژه قبل از بالا آمدن ویندوز انجام میشود و کاربر باید گذرواژه را ارائه کند تا فرایند عادی بوت رایانه آغاز شود.
این باجافزار که توسط MalwareHunterTeam کشف شدهاست بهطور دستی یا از طریق یک اسکریپت اجرا میشود. احتمالا هکرها از طریق سرویس Remote Desktop وارد سیستم میشوند و بهصورت دستی باجافزار را نصب میکنند. در هنگام فرایند نصب، یک فایل گزارش در آدرس C:\Users\Public\myLog.txt ایجاد میشود که مرحله فعلی فرایند رمزگذاری را نشان میدهد. پس از اینکه کل حافظه رمزگذاری شد، رایانه راهاندازی مجدد میشود و پیامی برای قربانی نمایش دادهمیشود که در آن آدرس mcrypt2018[at]yandex[dot]com برای دستورالعمل بازیابی اطلاعات ارائه شدهاست. در این صفحه از کاربر گذرواژهای درخواست میشود که تا بازیابی اطلاعات انجام شود.
این اولینباری نیست که از DiskCryptor در یک باجافزار استفاده شدهاست. در سال ۲۰۱۶ از DiskCryptor در یک عملیات باجافزاری با نام HDDCryptor (که با Mamba نیز شناخته میشود) استفاده شدهاست. در نوامبر سال ۲۰۱۶ تعداد ۲۱۱۲ رایانه متعلق به سیستم راهآهن شهری سان فرانسیسکو با باجافزار Mamba آلوده شدند. این اتفاق به طور موثر سیستمهای پرداخت مترو را تعطیل کرد و باعث شد مترو این شهر بهصورت رایگان در طول تعطیلات آخر هفته به مسافران خدمت ارائه کند.