محققان امنیتی باجافزار جدیدی را در ماه جولای و آگوست مشاهده کردهاند که سعی دارد شبیه به باجافزار معروف Locky رفتار کند. این باجافزار در سال ۲۰۱۶ میلادی فعالیت بسیار زیادی داشت. این باجافزار جدید با زبان برنامهنویسی پایتون توسعه داده شده و PyLocky نام دارد. با استفاده از ابزار PyInstaller نیز بستهبندی شده که برنامههای کاربردی را به برنامههای اجرایی تبدیل میکند. چیزی که این باجافزار جدید را از بدافزارهای دیگرِ مبتنی بر پایتون متمایز میکند، قابلیت ضد یادگیری ماشین در آن است. محققان اعلام کردند این باجافزار همچنین از پروژهی متنباز Inno Setup Installer استفاده کرده و در حالت کلی در برابر تحلیلهای ایستا مقاومت بالایی دارد.
نکتهی جالب توجه دیگر در خصوص این باجافزار، توزیع متمرکز آن است. هرزنامههای حاوی این بدافزار به سمت کاربران در کشورهای اروپایی و به ویژه فرانسه ارسال شده و تعداد هرزنامهها با مرور زمان رفته رفته بیشتر میشود. در این هرزنامهها از تکنیکهای مهندسی اجتماعی استفاده میشود. لینکی برای کاربر ارسال شده و او متقاعد میشود تا بر روی لینک کلیک کند. در URL مورد نظر یک فایل ZIP وجود دارد که قربانی با دانلود آن، باجافزار PyLocky را دریافت میکند.
باجافزار پس از اینکه بر روی سیستم قربانی نصب شد، تلاش میکند برنامهها و اسناد و فایلهای مختلف را رمزنگاری کند. در مجموع این باجافزار قابلیت رمزنگاری ۱۵۰ نوع فایل مختلف را دارد. باجافزار از ابزار مدیریت ویندوز (WMI) بهرهبرداری کرده و به ویژگیهای سیستم قربانی دست پیدا میکند. در راستای ویژگیهای ضد-جعبهشنی نیز اگر حافظهی قابل مشاهده در سیستم آلوده کمتر از ۴ گیگابایت باشد، بدافزار تقریبا به مدت ۱۱٫۵ روز به خواب میرود و هیچ فعالیتی ندارد.
باجافزار برای رمزنگاری از کتابخانهی PyCrypto استفاده کرده و الگوریتم ۳DES را بکار برده است. پس از اتمام رمزنگاری، این باجافزار یک پیغام باجخواهی را به نمایش گذاشته و با سرور دستور و کنترل خود ارتباط برقرار میکند. پیغام باجخواهی این بدافزار به زبانهای انگلیسی، فرانسه، کرهای و ایتالیایی نوشته شده و نشان میدهد احتمال گسترده شدن حملات آن وجود دارد.
