Brrr؛ نسخه جدید باج‌افزار مخرب CrySis

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

Brrr؛ نسخه جدید باج‌افزار مخرب CrySis
q928
نسخه جدیدی از باج‌افزار CrySis در حال انتشار است که پس از رمزگذاری فایل‌های پراستفاده کاربر، به آنها پسوند brrr را الصاق می‌کند.
CrySis – که با نام‌های Dharma و Wallet نیز شناخته می‌شود – از جمله باج‌افزارهایی است که صاحبان آن با نفوذ به سیستم‌ها از طریق پودمان RDP – معمولا از طریق درگاه TCP 3389 – اقدام به اجرا و توزیع باج‌افزار بر روی دستگاه‌های قابل دسترس از روی دستگاه هک شده می‌کنند.
دستگاه‌های با رمز عبور ضعیف / پراستفاده آسیب‌پذیرترین اهداف این حملات محسوب می‌شوند.
با اجرای فایل مخرب باج‌افزار، CrySis، دیسک سخت و پوشه‌های اشتراکی را – که نام کاربری مورد استفاده باج‌افزار به آنها دسترسی نوشتن دارد – برای یافتن فایل‌های با پسوند خاص پویش کرده و سپس آنها را رمزگذاری می‌کند.
یادآوری می‌شود که حتی در صورت وجود ضدویروس بر روی دستگاه با پوشه‌های اشتراکی، همچنان باج‌افزار از طریق دیگر دستگاه‌های آلوده با نام کاربری دارای مجوز لازم، قادر به رمزگذاری فایل‌های موجود در پوشه خواهد بود. بنابراین محدودسازی سطح دسترسی به پوشه‌های اشتراکی و اطمینان از مجهز بودن دستگاه کاربران مجاز به دسترسی به پوشه به ضدویروس به‌روز و قدرتمند از اهمیت بسزایی برخوردار می‌باشد.
در این نسخه، به انتهای نام و پسوند فایل‌های رمزگذاری شده عبارت زیر افزوده می‌شود که در آن [id] شناسه‌ای اختصاصی از دستگاه آلوده شده و [email] به نشانی ایمیلی که قربانی می‌بایست از طریق آن با مهاجمان ارتباط برقرار کند اشاره دارد:
.id-[id].[email].brrr
q929
اطلاعیه باج‌گیری نسخه جدید در قالب دو فایل Info.hta و FILES ENCRYPTED.txt به کاربر ارائه می‌شود. فایل نخست که نمونه‌ای از آن در تصویر زیر قابل مشاهده است در هر بار راه‌اندازی شدن دستگاه اجرا می‌شود.
q930
فایل دوم نیز بر روی Desktop کپی می‌شود.
q931
در هر دوی فایل‌های مذکور از قربانی خواسته می‌شود تا به‌منظور دریافت دستورالعمل پرداخت باج، از طریق ایمیل این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید با مهاجمان تماس حاصل کند.
متاسفانه در زمان انتشار این خبر، امکان رمزگشایی فایل‌های رمزگذاری شده بدون در اختیار داشتن کلید فراهم نیست.
طی یک سال گذشته، کاربران و موسسات ایرانی به کرات هدف باج‌افزار CrySis قرار گرفته‌اند.
همانطور که اشاره شد روش اصلی انتشار باج‌افزار CrySis بهره‌گیری مهاجمان آن از پودمان پراستفاده RDP است.

لازم به ذکر است که نسخه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

:ESET-NOD32

a variant of Win32/Filecoder.Crysis.P–      

:Fortinet

   W32/Crysis.L!tr.ransom–      

:Kaspersky

    Trojan-Ransom.Win32.Crusis.to–