نسخهای از یک مجموعه ابزار باجافزار متن باز به نام کریپتونایت به دلیل «معماری و برنامهنویسی ضعیف» در طبیعت با قابلیتهای پاککننده مشاهده شده است.
کریپتونایت برخلاف دیگر گونه های باج افزار برای بازارهای زیرزمینی مجرمان سایبری در دسترس نیست و در عوض توسط بازیگری به نام CYBERDEVILZ تا همین اواخر از طریق یک مخزن GitHub به صورت رایگان ارائه میشد. کد منبع و زیرشاخههای آن از آن زمان حذف شده اند.
این بدافزار که در پایتون نوشته شده است، ماژول Fernet را از پکیج رمزنگاری برای رمزگذاری فایل های با پسوند “.cryptn8” به کار میگیرد.
اما نمونه جدیدی که توسط Fortinet FortiGuard Labs تجزیه و تحلیل شده، کشف شده است که فایلها را بدون هیچ گزینهای برای رمزگشایی مجدد قفل میکند و اساساً به عنوان یک پاککننده داده مخرب عمل میکند.
اما این تغییر یک اقدام عمدی از سوی عامل تهدید نیست، بلکه ناشی از عدم تضمین کیفیت است که باعث میشود برنامه هنگام تلاش برای نمایش باج نوشته پس از تکمیل فرآیند رمزگذاری، از کار بیفتد.
محقق شرکت Fortinet با نام Gergely Revay در گزارش روز دوشنبه گفت: «مشکل این نقص این است که به دلیل سادگی طراحی باجافزار، اگر برنامه از کار بیفتد – یا حتی بسته شود – هیچ راهی برای بازیابی فایلهای رمزگذاری شده وجود ندارد.
استثنایی که در طول اجرای برنامه باجافزار ایجاد میشود به این معنی است که «کلید» مورد استفاده برای رمزگذاری فایلها هرگز به اپراتورها منتقل نمیشود و در نتیجه کاربران را از داده های خود محروم میکند.
این یافتهها در مقابل پسزمینه یک چشمانداز باجافزاری در حال تکامل است که در آن پاک کنندههایی تحت پوشش بدافزار رمزگذاری فایل به طور فزایندهای برای بازنویسی دادهها بدون اجازه رمزگشایی استفاده میشوند.
