یک باج افزار با قابلیت رمزنگاری 88 پسوورد

یک باج افزار با قابلیت رمزنگاری 88 پسوورد

شرکت مایکروسافت هشداری با درجه اهمیت حادمنتشر کرده که در آن در خصوص انتشار گونه ای از باج افزار(Ransomware) با عنوان ZCryptor هشدار داده شده است.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت مایکروسافت گردانندگان این باج افزار به نام ZCryptor از طریق هرزنامه های با پیوست فایل Office حاویماکروی ویزوسی اقدام به توزیع آن می کنند.
با اجرای فایل آلوده این باج افزار، بمنظور اجرای خودکار ZCryptor در هر بار راه اندازی سیستم، کلید زیر در محضرخانه (Registry) ایجاد می گردد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}
علاوه بر ایجاد کلید فوق، میانبر زیر نیز در پوشه Startup کاربر ساخته می شود:
%User Startup%\zcrypt.lnk
همچنین ۸۸ نوع پسوند فایل را رمزنگاری کرده و به آنها پسوند zcrypt را الصاق می کند.

یک باج افزار با قابلیت رمزنگاری 88 پسوورد

یک باج افزار با قابلیت رمزنگاری 88 پسوورد

 

این باج افزار با ایجاد فایل How to decrypt files.html و نمایش آن از قربانی می خواهد تا با برای رمزگشایی فایل ها مبلغ ۱/۲ بیت کوین (معادل حدود ۵۰۰ دلار) را پرداخت کند.

یک باج افزار با قابلیت رمزنگاری 88 پسوورد

یک باج افزار با قابلیت رمزنگاری 88 پسوورد

در صورتی که پرداخت ظرف مدت ۴ روز انجام نشود، مبلغ باج به ۵ بیت کوین افزایش می یابد.
از خصوصیات ویژه ZCryptor بازتولید خود از طریق حافظه های حذف شدنی و درایوهای شبکه ای است؛ این باج افزار اقدام به ساخت فایل autorun.inf و یک نسخه از خود در حافظه های حذف شدنی متصل به دستگاه می کند. هدف از این کار اجرای خودکار فایل مخرب باج افزار – بدون دخالت کاربر – در زمان اتصال حافظه به دستگاه غیرآلوده است.
این ویژگی ها سبب شده است که شرکت ماکروسافت اقداماتی انجام دهد.

شرکت مایکروسافت این باج افزار را در دسته کرم ها (Worm) طبقه بندی می کند. موضوعی که ZCryptor را در فهرست نخستین آنها با قابلیت کرمی قرار می دهد.
توضیح اینکه گونه گزارش شده ZCryptor، توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های RDN/Ransom و Trojan.GenericKD.3257805 شناسایی می شود.

منبع:شرکت مهندسی شبکه گستر

 

© کپی رایت - ریکاوری هارد و بازیابی اطلاعات امین پایتخت