باج‌افزار متن‌باز جدید، بازیکنان بازی فورتنایت را هدف گرفته است

محققان شرکت امنیتی سِیرن «Cyren» خانواده‌ی باج‌افزاری جدیدی را کشف کرده‌اند که مبتنی‌بر بدافزار متن‌باز Hidden-Cry بوده و کاربران بازی فورتنایت (Fortnite) را هدف قرار داده است. بازی فورتنایت با بیش از ۲۵۰میلیون بازیکن در سراسر جهان، یک بازی بسیار پرطرفدار است. اخیرا نیز میلیون‌ها کاربر آن در جام جهانی این بازی که میلیون‌ها دلار جایزه داشته است، شرکت کرده‌اند.

باج‌افزار جدید کشف‌شده که Syrk نام دارد، با ظاهرشدن در نقش یک ابزار هک بازی برای فورتنایت، در تلاش است تا از محبوبیت این بازی سود ببرد. پس از اجرای آن، این باج‌افزار شروع به رمزنگاری فایل‌ها بر روی دستگاه قربانی کرده و پسوند Syrk. را به آن‌ها ضمیمه می‌کند.

به گفته‌ی محققان شرکت سِیرن، تجزیه و تحلیل این تهدید نشان می‌دهد که این باج‌افزار در حقیقت مبتنی‌بر بدافزار متن‌باز Hidden-Cry است که پسوند دیگری را به فایل‌های رمزنگاری‌شده اضافه می‌کند. کد منبع بدافزار Hidden-Cry از پایان سال گذشته بر روی گیت‌هاب (GitHub) موجود است.

این باج‌افزار با بیان این موضوع که هر دو ساعت یک‌بار، بخشی از فایل‌های رمزنگاری‌شده را حذف می‌کند، سعی دارد کاربران را برای پرداخت هرچه سریع‌تر باج فریب دهد، اما محققان سِیرن معتقدند که قربانیان می‌توانند حتی بدون پرداخت باج به مهاجمان، این پرونده‌ها را بازیابی کرده و داده‌های رمزنگاری‌شده را رمزگشایی کنند.

سایز باینری باج‌افزار Syrk، ۱۲ مگابایت بوده و فایل‌های زیادی در بخش منابع آن تعبیه شده‌اند که این فایل‌ها، مؤلفه‌های اصلی فعالیت مخرب آن هستند. پس از اجرا، این باج‌افزار سعی می‌کند تا با غیرفعال کردن Windows Defender و Control Account User از طریق دستکاری فرایند رجیستری، به یک حالت پایدار دست یابد. همچنین، بر روی برخی از ابزارهای موجود در سیستم که می‌توانند فرایند آن را خاتمه دهند، مانندTask Manager ، Procmon64 و ProcessHacker، نظارت می‌کند. این باج‌افزار همچنین با هدف گسترش خود، سعی در آلوده‌کردن درایوهای USB متصل به سیستم دارد.

بااین‌حال، خبر خوب این است که محققان امنیتی سِیرن دو روش برای رمزگشایی داده‌های رمزنگاری‌شده کشف کرده‌اند، چراکه فایل‌های موردنیاز برای این کار در دستگاه‌های آلوده موجود هستند. یکی از آن‌ها dh35s3h8d69s3b1k.exe، ابزار رمزگشایی بدافزار Hidden-Cry است که به‌عنوان یک منبع در بدافزار اصلی تعبیه شده است. استخراج و اجرای این فایل باعث ایجاد اسکریپت PowerShell خواهد شد که برای رمزگشایی لازم است.

علاوه‌براین، در برخی از فایل‌های متنی تعبیه‌شده در خود باج‌افزار نیز، شناسه و رمز عبور لازم برای رمزگشایی فایل‌ها مشاهده شده است. این فایل‌ها، -i+.txt، -pw+.txt و +dp-.txt هستند که از مسیر \C:\Users\Default\AppData\Local\Microsoft می‌توان به آن‌ها دسترسی پیدا کرد. همچنین به گفته‌ی محققان، باج‌افزار Syrk دارای یک مکانیسم پاک‌سازی نیز می‌باشد؛ به این صورت که پس از استفاده از رمزهای عبور مذکور برای رمزگشایی داده‌ها، فایل‌های باج‌افزار از روی سیستم قربانی حذف می‌شوند.

منبع

پست‌های مشابه

Leave a Comment