گروه امنیتی فورتینت هشدار داد که آخرین نسخه از باجافزار GandCrab، سیستمهای آلودهی ویندوز ۷ را تحت تاثیر قرار میدهد. نسخه ۳ این باجافزار که در پایان ماه گذشته کشف شد، در تلاش برای تغییر تصویر زمینهی دسکتاپ کامپیوتر، سیستم را مجبور به راهاندازی مجدد میکند. با این حال، بهدلیل یک اشکال برنامهنویسی، تنها سیستمهای ویندوز ۱۰ و ویندوز ۸ بهطور کامل بارگذاری میشوند، درحالیکه سیستمهای ویندوز ۷ قبل از بارگذاری کامل شِل ویندوز، در یک لحظه قطع میشوند.
باجافزار GandCrab از طریق ایمیلهای هرزنامه گسترش مییابد و فورتینت هفتهی گذشته مشاهده کرد که پیامهای توزیعدهندهی این باجافزار افزایش پیدا کردهاند. این ایمیلها نسخهی ۲٫۱ بدافزار را ارسال کرده و اکثر آنها (۷۵٪) کاربران آمریکایی را هدف قرار میدهند. همچنین کاربران انگلیس، کانادا، رومانی و آفریقای جنوبی نیز تحت تاثیر قرار گرفتهاند.
طی چند روز گذشته، نویسندگان این باجافزار به یک بدافزار تکراری جدید تغییر مسیر دادهاند، اما بیشتر عملکردهای آن حفظ شده است. تفاوت اصلی بین دو نسخه، تلاش برای تغییر تصویر زمینهی دسکتاپ است که تنها در سیستمهای ویندوز ۱۰ و ویندوز ۸٫۱ کار میکند. محققان امنیتی اشاره کردند که رفتار این باجافزار مانند قفل قدیمی صفحهی نمایش است، کاربر فقط یادداشت باج را بر روی تصویر پسزمینه مشاهده کرده و مرورگر وبسایت بارگیری TOR را باز میکند.
با این حال، بهنظر میرسد که این رفتار عمدی نیست. در یادداشت باج، قربانی برای یافتن دستورالعملهایی درمورد نحوهی بازیابی فایلهای رمزنگاریشدهی خود به خواندن یک نسخه از «CRAB-DECRYPT.txt» هدایت میشود که این متن نیز در پوشههای مختلف قرار گرفته است. بدون رابط ویندوز، یک کاربر معمولی نمیتواند این کار را انجام دهد.
کاربران باید با ترکیب کلیدهای CTRL+SHIFT+DEL، تسکمنیجر را راهاندازی کنند و فرآیند بدافزار را خاتمه داده و سیستم را مجددا راهاندازی نمایند. با این حال، ممکن است با این کار مشکل حل نشود، به این معنا که بدافزار ممکن است دارای سازوکار پایداری باشد که تضمین نماید پس از راهاندازی مجدد سیستم نیز اجرا خواهد شد. برای جلوگیری از نمایش «صفحهی قفل» پس از بارگذاری مجدد، قربانی باید پس از خاتمه دادن به فرآیند بدافزار با استفاده از تسکمنیجر، فایل اجرایی بدافزار را نیز از مسیر APPDATA%\Microsoft\<random chars>.exe حذف کند. همچنین باید رجیستر autorun باجافزار را حذف کند.
به کاربران توصیه میشود که همیشه قبل از باز کردن ایمیلهای غیرمنتظره و دارای پیوست، آنها را اسکن و بررسی کنند. همچنین برای اطمینان از بازیابی فایلهای خود حتی در صورت آلوده شدن، باید از آنها پشتیبانهای جداگانه تهیه کنند. اگرچه ویژگی جدید این باجافزار در تمام سیستمهای هدف بهخوبی کار نمیکند، اما بهطور فعال گسترش مییابد که باعث میشود این پویش بدافزاری حتی خطرناکتر شود.