باج‌افزار GandCrab سیستم‌های ویندوز ۷ را تحت تاثیر قرار می‌دهد

 

گروه امنیتی فورتی‌نت هشدار داد که آخرین نسخه از باج‌افزار GandCrab، سیستم‌های آلوده‌ی ویندوز ۷ را تحت تاثیر قرار می‌دهد. نسخه ۳ این باج‌افزار که در پایان ماه گذشته کشف شد، در تلاش برای تغییر تصویر زمینهی دسکتاپ کامپیوتر، سیستم را مجبور به راه‌اندازی مجدد می‌کند. با این حال، به‌دلیل یک اشکال برنامه‌نویسی، تنها سیستم‌های ویندوز ۱۰ و ویندوز ۸ به‌طور کامل بارگذاری می‌شوند، درحالی‌که سیستم‌های ویندوز ۷ قبل از بارگذاری کامل شِل ویندوز، در یک لحظه قطع می‌شوند.


باج‌افزار GandCrab از طریق ایمیل‌های هرزنامه گسترش می‌یابد و فورتی‌نت هفته‌ی گذشته مشاهده کرد که پیامهای توزیعدهنده‌ی این باج‌افزار افزایش پیدا کرده‌اند. این ایمیل‌ها نسخه‌ی ۲٫۱ بدافزار را ارسال کرده و اکثر آن‌ها (۷۵٪) کاربران آمریکایی را هدف قرار می‌دهند. همچنین کاربران انگلیس، کانادا، رومانی و آفریقای جنوبی نیز تحت تاثیر قرار گرفته‌اند.


طی چند روز گذشته، نویسندگان این باج‌افزار به یک بدافزار تکراری جدید تغییر مسیر داده‌اند، اما بیشتر عملکردهای آن حفظ شده است. تفاوت اصلی بین دو نسخه، تلاش برای تغییر تصویر زمینهی دسکتاپ است که تنها در سیستم‌های ویندوز ۱۰ و ویندوز ۸٫۱ کار می‌کند. محققان امنیتی اشاره کردند که رفتار این باج‌افزار مانند قفل قدیمی صفحه‌ی نمایش است، کاربر فقط یادداشت باج را بر روی تصویر پس‌‌زمینه مشاهده کرده و مرورگر وب‎‌سایت بارگیری TOR را باز می‌کند.


با این حال، به‌نظر می‌رسد که این رفتار عمدی نیست. در یادداشت باج، قربانی برای یافتن دستورالعمل‌هایی درمورد نحوه‌ی بازیابی فایل‌های رمزنگاری‌شده‌ی خود به خواندن یک نسخه از «CRAB-DECRYPT.txt» هدایت می‌شود که این متن نیز در پوشه‌های مختلف قرار گرفته است. بدون رابط ویندوز، یک کاربر معمولی نمی‌تواند این کار را انجام دهد. 


کاربران باید با ترکیب کلیدهای CTRL+SHIFT+DEL، تسک‌منیجر را راه‌اندازی کنند و فرآیند بدافزار را خاتمه داده و سیستم را مجددا راه‌اندازی نمایند. با این حال، ممکن است با این کار مشکل حل نشود، به این معنا که بدافزار ممکن است دارای سازوکار پایداری باشد که تضمین نماید پس از راه‌اندازی مجدد سیستم نیز اجرا خواهد شد. برای جلوگیری از نمایش «صفحه‌ی قفل» پس از بارگذاری مجدد، قربانی باید پس از خاتمه دادن به فرآیند بدافزار با استفاده از تسک‌منیجر، فایل اجرایی بدافزار را نیز از مسیر APPDATA%\Microsoft\<random chars>.exe حذف کند. همچنین باید رجیستر autorun باج‌افزار را حذف کند.


به کاربران توصیه می‌شود که همیشه قبل از باز کردن ایمیل‌های غیرمنتظره و دارای پیوست، آن‌ها را اسکن و بررسی کنند. همچنین برای اطمینان از بازیابی فایل‌های خود حتی در صورت آلوده شدن، باید از آن‌ها پشتیبان‌های جداگانه تهیه کنند. اگرچه ویژگی جدید این باج‌افزار در تمام سیستم‌های هدف به‌خوبی کار نمی‌کند، اما به‌طور فعال گسترش می‌یابد که باعث می‌شود این پویش بدافزاری حتی خطرناک‌تر شود.
 

منبع

پست‌های مشابه

Leave a Comment