باجافزار جدیدی موسوم به Try2Cry از طریق USB های آلوده به سیستمهای دیگر منتقل میشود. این باجافزار فایلهای قربانی را مخفی کرده و با استفاده از میانبر ویندوز (فایل LNK) خودش را به جای فایلهای اصلی جا میزند تا کاربر با کلیک کردن بر روی آن، سیستم خود را آلوده کند.
این باجافزار در حین بررسی یک نمونه بدافزار ناشناخته و توسط محققان شرکت G Data کشف شد.
به گفته محققان، باجافزار کشف شده از خانواده باج افزار متن باز احمق (Stupid) است، اما در داخل آن کدهایی برای محافظت از بدافزار در مقابلDNGuard قرار داده شده بود.
باجافزارهای خانواده احمق، جزو باجافزارهایی هستند که توسط هکرهای کم مهارت توسعه داده میشوند که اغلب از تم مجری قانون و فرهنگ پاپ استفاده میکنند.
زمانی که این شرکت به دنبال نسخههای بدون محافظ این بدافزار بود تا بتواند کار تحلیل را سادهتر کند، ۱۰ مدل متفاوت آن را کشف کرد که برخی از آنها قابلیت ورم را نداشتند.
بعد از اینکه سیستم قربانی به این ویروس آلوده شد، فایلهایی با پسوندهای زیر رمزنگاری شده و با پسوند .Try2Cry ذخیره میشوند:
- Doc
- Ppt
- Jpg
- Xls
- Docx
- Pptx
- Xlsx
جالبترین توانایی این باجافزار، انتشار آن به سیستمهای دیگر از طریق USB است. پس از سیستم به ویروس آلوده شد، بلافاصله دستگاههای قابل حمل گشته و در صورت شناسایی، نسخهای از خود را با نام Update.exe به داخل آن انتقال میدهد.
در مرحله بعد، تمامی فایلهای داخل دستگاه را مخفی کرده و به جای آنها فایل میانبر (فایل LNK) با همان آیکون را قرار میدهد.
هرگاه کاربر بر روی یکی از این میانبرها دابل کلیک کند، محتویات داخل آن به او نمایش داده خواهد شد، اما در همین حال فایل Update.exe نیز اجرا میشود. با این کار بدافزار Try2Cry نیز به سیستم قربانی جدید منتقل میشود.
باجافزار فوق با استفاده از آیکون پیشفرض ویندوز و نامهای عربی، چند نسخه قابل مشاهده هم از خود ایجاد میکند. هدف از این کار برانگیختن حس کنجکاوی در قربانی است تا بر روی پوشه ها دابل کلیک کرده و به بدافزار آلوده شود.
برخلاف ویروس Spora، در Try2cry نماد مخصوص میانبر در گوشه پوشهها و فایلها قابل مشاهده است، که با این نشانه به سرعت میتواند از ویروسی شدن USB باخبر شد.
استفاده از نامهای عربی هم مسئله بسیار واضحی است، چرا که اگر کاربر عربی زبان نباشد، وجود فایلهایی با نام عربی مشخص میکند که یک جای کار ایراد دارد و این فایلها قبلا در USB نبودهاند.
خوشبختانه این باجافزار هم درست مثل بقیه خانواده باجافزارهای احمق قابل رمزگشایی است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.