محققان شرکت امنیتی سِیرن «Cyren» خانوادهی باجافزاری جدیدی را کشف کردهاند که مبتنیبر بدافزار متنباز Hidden-Cry بوده و کاربران بازی فورتنایت (Fortnite) را هدف قرار داده است. بازی فورتنایت با بیش از ۲۵۰میلیون بازیکن در سراسر جهان، یک بازی بسیار پرطرفدار است. اخیرا نیز میلیونها کاربر آن در جام جهانی این بازی که میلیونها دلار جایزه داشته است، شرکت کردهاند.
باجافزار جدید کشفشده که Syrk نام دارد، با ظاهرشدن در نقش یک ابزار هک بازی برای فورتنایت، در تلاش است تا از محبوبیت این بازی سود ببرد. پس از اجرای آن، این باجافزار شروع به رمزنگاری فایلها بر روی دستگاه قربانی کرده و پسوند Syrk. را به آنها ضمیمه میکند.
به گفتهی محققان شرکت سِیرن، تجزیه و تحلیل این تهدید نشان میدهد که این باجافزار در حقیقت مبتنیبر بدافزار متنباز Hidden-Cry است که پسوند دیگری را به فایلهای رمزنگاریشده اضافه میکند. کد منبع بدافزار Hidden-Cry از پایان سال گذشته بر روی گیتهاب (GitHub) موجود است.
این باجافزار با بیان این موضوع که هر دو ساعت یکبار، بخشی از فایلهای رمزنگاریشده را حذف میکند، سعی دارد کاربران را برای پرداخت هرچه سریعتر باج فریب دهد، اما محققان سِیرن معتقدند که قربانیان میتوانند حتی بدون پرداخت باج به مهاجمان، این پروندهها را بازیابی کرده و دادههای رمزنگاریشده را رمزگشایی کنند.
سایز باینری باجافزار Syrk، ۱۲ مگابایت بوده و فایلهای زیادی در بخش منابع آن تعبیه شدهاند که این فایلها، مؤلفههای اصلی فعالیت مخرب آن هستند. پس از اجرا، این باجافزار سعی میکند تا با غیرفعال کردن Windows Defender و Control Account User از طریق دستکاری فرایند رجیستری، به یک حالت پایدار دست یابد. همچنین، بر روی برخی از ابزارهای موجود در سیستم که میتوانند فرایند آن را خاتمه دهند، مانندTask Manager ، Procmon64 و ProcessHacker، نظارت میکند. این باجافزار همچنین با هدف گسترش خود، سعی در آلودهکردن درایوهای USB متصل به سیستم دارد.
بااینحال، خبر خوب این است که محققان امنیتی سِیرن دو روش برای رمزگشایی دادههای رمزنگاریشده کشف کردهاند، چراکه فایلهای موردنیاز برای این کار در دستگاههای آلوده موجود هستند. یکی از آنها dh35s3h8d69s3b1k.exe، ابزار رمزگشایی بدافزار Hidden-Cry است که بهعنوان یک منبع در بدافزار اصلی تعبیه شده است. استخراج و اجرای این فایل باعث ایجاد اسکریپت PowerShell خواهد شد که برای رمزگشایی لازم است.
علاوهبراین، در برخی از فایلهای متنی تعبیهشده در خود باجافزار نیز، شناسه و رمز عبور لازم برای رمزگشایی فایلها مشاهده شده است. این فایلها، -i+.txt، -pw+.txt و +dp-.txt هستند که از مسیر \C:\Users\Default\AppData\Local\Microsoft میتوان به آنها دسترسی پیدا کرد. همچنین به گفتهی محققان، باجافزار Syrk دارای یک مکانیسم پاکسازی نیز میباشد؛ به این صورت که پس از استفاده از رمزهای عبور مذکور برای رمزگشایی دادهها، فایلهای باجافزار از روی سیستم قربانی حذف میشوند.