باج‌افزار جدیدی موسوم به Try2Cry از طریق USB های آلوده به سیستم‌های دیگر منتقل می‌شود. این باج‌افزار فایل‌های قربانی را مخفی کرده و با استفاده از میانبر ویندوز (فایل LNK) خودش را به جای فایل‌های اصلی جا می‌زند تا کاربر با کلیک کردن بر روی آن، سیستم خود را آلوده کند.

این باج‌افزار در حین بررسی یک نمونه بدافزار ناشناخته و توسط محققان شرکت G Data کشف شد.

به گفته محققان، باج‌افزار کشف شده از خانواده باج افزار متن باز احمق (Stupid) است، اما در داخل آن کدهایی برای محافظت از بدافزار در مقابلDNGuard  قرار داده شده بود.

باج‌افزارهای خانواده احمق، جزو باج‌افزارهایی هستند که توسط هکرهای کم مهارت توسعه داده می‌شوند که اغلب از تم مجری قانون و فرهنگ پاپ استفاده می‌کنند.

زمانی که این شرکت به دنبال نسخه‌های بدون محافظ این بدافزار بود تا بتواند کار تحلیل را ساده‌تر کند، ۱۰ مدل متفاوت آن را کشف کرد که برخی از آنها قابلیت ورم را نداشتند.

بعد از اینکه سیستم قربانی به این ویروس آلوده شد، فایل‌هایی با پسوندهای زیر رمزنگاری شده و با پسوند .Try2Cry ذخیره می‌شوند:

  • Doc
  • Ppt
  • Jpg
  • Xls
  • Pdf
  • Docx
  • Pptx
  • Xlsx

جالب‌ترین توانایی این باج‌افزار، انتشار آن به سیستم‌های دیگر از طریق USB است. پس از سیستم به ویروس آلوده شد، بلافاصله دستگاه‌های قابل حمل گشته و در صورت شناسایی، نسخه‌ای از خود را با نام Update.exe به داخل آن انتقال می‌دهد.

در مرحله بعد، تمامی فایل‌های داخل دستگاه را مخفی کرده و به جای آنها فایل میانبر (فایل LNK)  با همان آیکون را قرار می‌دهد.

هرگاه کاربر بر روی یکی از این میانبرها دابل کلیک کند، محتویات داخل آن به او نمایش داده خواهد شد، اما در همین حال فایل Update.exe نیز اجرا می‌شود. با این کار بدافزار Try2Cry نیز به سیستم قربانی جدید منتقل می‌شود.

باج‌افزار فوق با استفاده از آیکون پیش‌فرض ویندوز و نام‌های عربی، چند نسخه قابل مشاهده هم از خود ایجاد می‌کند. هدف از این کار برانگیختن حس کنجکاوی در قربانی است تا بر روی پوشه ها دابل کلیک کرده و به بدافزار آلوده شود.

برخلاف ویروس Spora، در Try2cry نماد مخصوص میانبر در گوشه پوشه‌ها و فایل‌ها قابل مشاهده است، که با این نشانه به سرعت می‌تواند از ویروسی شدن USB باخبر شد.

استفاده از نام‌های عربی هم مسئله بسیار واضحی است، چرا که اگر کاربر عربی زبان نباشد، وجود فایلهایی با نام عربی مشخص می‌کند که یک جای کار ایراد دارد و این فایل‌ها قبلا در USB نبوده‌اند.

خوشبختانه این باج‌افزار هم درست مثل بقیه خانواده باج‌افزارهای احمق قابل رمزگشایی است.

نظرات

نظر (به‌وسیله فیس‌بوک)