باج‌افزار VCrypt

باج‌افزار جدیدی به نام VCrypt با استفاده از برنامه‌های خط فرمان 7zip مجاز، قربانیان فرانسوی را به منظور ایجاد بایگانی پوشه‌های داده‌‌ی محافظت شده با رمزعبور، هدف می‌گیرد. این باج‌افزار همه فایل‌های موجود در پوشه‌های داده در ویندوز قربانی را حذف کرده و سپس فایل‌های رمزنگاری شده جدید که با نام پوشه نام‌گذاری شده‌اند را ایجاد می‌کند. این فایل‌های رمزنگاری شده از فرمت نام‌گذاری username_foldername.vxcrypt استفاده می‌کنند. به طور مثال همان‌طور که در شکل زیر مشاهده می‌شود، فایل‌های موجود در پوشه‌های سند، حذف شده و یک فایل به نام User_documents.vcrypt ایجاد می‌شود.

هنگامی که باج‌افزار شروع به کار می‌کند، اینترنت اکسپلورر نیز را اجرا کرده و یک یادداشت باج به نام help.html را نمایش می‌دهد. این یادداشت به زبان فرانسوی نوشته شده و چگونگی بازگرداندن فایل‌ها را توسط یک صفحه وب به کاربر آموزش می‌دهد.

ترجمه این یادداشت به زبان فارسی:

سوال: چه اتفاقی برای فایل‌ها افتاده است؟

پاسخ: همه فایل‌های شما رمزنگاری شده و در یک محل امن ذخیره شده‌اند.

سوال: چگونه فایل‌های خود را بازیابی کنم؟

پاسخ: دستورات موجود در این صفحه وب را انجام دهید. اگر صفحه باز نشد، اتصال اینترنت خود را بررسی کنید.

سایت باج تاکنون آفلاین بوده است؛ بنابراین تا زمانی که به یادداشت باج دسترسی پیدا نکنیم، مقدار باج درخواست شده توسط مهاجمان مشخص نیست.

 

1  ایجاد بایگانی‌های 7zip محافظت شده با رمزعبور

پس از بررسی نمونه‌ها، محققان دریافتند که باج‌افزار هر فایلی را رمزنگاری نمی‌کند؛ در عوض، پس از اجرا خود را جهت اجرای خودکار پیکربندی کرده و برنامه خط فرمان 7zip مجاز به نام 7za.exe را از پوشه %Temp% به عنوان mod_01.exe استخراج می‌کند. سپس با اجرای مجموعه‌ای از دستورات، فایل‌ها را در پوشه‌های ویندوز زیر به صورت محافظت شده با رمزعبور بایگانی می‌کند:

همه‌ی بایگانی‌های ایجاد شده با VCrypt در هنگام بایگانی فایل‌ها و سپس حذف داده‌های موجود در پوشه، از یک رمزعبور hardcode یکسان استفاده می‌کنند.

در شکل زیر مثالی از یک دستور مشاهده می‌شود که جهت تولید یک بایگانی از پوشه‌های Desktop محافظت شده با رمزعبور Oezfdse6f5esf413s5fd4e6fSQ45R424EDDEZS و سپس حذف محتوای پوشه استفاده می‌شود.

برای سایر driverها در سیستم، باج‌افزار بیشتر به عنوان پاک کننده عمل می‌کند زیرا هیچ فایلی را قبل از حذف آنها بایگانی نمی‌کند.

متأسفانه در این مثال چگونگی توزیع باج‌افزار نامشخص است. قربانی desktop از راه دور را در رایانه خود ندارد و اظهار می‌دارد که اخیراً فایلی بارگیری نکرده است.

2   مراجع

[1]