به گزارش ترفندستان, به نقل از دولوپه, در ماه ژوئیه یکی از محققین امنیتی AVG باج افزاری به زبان پایتون کشف کرد که "HolyCrypt" نامیده شد. این باج افزار به لیست باج افزارهای پایتون چون Fs0ciety Locker, و Zimbra افزوده شد.
اکنون همان محقق امنیتی AVG باج افزار دیگری که انرا "CryPy" نامیده کشف کرده که از ویژگیهای ان استفاده از یک کلید رمزنگاری برای هر یک از فایلها است.
این ویژگی این باج افزار مورد توجه اجتماع محققین شرکتهای تولید محصولات امنیتی که کسپرسکی نیز جزو انان است قرار گرفته و کسپرسکی به انالیز کد ان پرداخت و در مورد عملکرد ان توضیحاتی داده است.
کسپرسکی توضیح داده که فایل اجرائی ان شامل دو فایل اصلی به نامهای "boot_common.py" و"encryptor.py" میشود که اولی عامل خطاها روی پلاتفرم ویندوز است و دومی رمزنگاری را بر عهده دارد.
در فایل دوم عملیات مختلفی چون ارتباط با سرور فرمان و کنترل میباشد که این سرور در پس یک سرور وب هک شده در اسرائیل پنهان گشته است. محققین امنیتی قید کرده اند که این سرور اسرائیلی با استفاده از یک اسیب پذیری شناخته شده در یک سیستم مدیریت محتوا که Magento نامیده میشود هک شده و بدینگونه مجرمین سایبری یک اسکریپت شل پی اچ پی و فایلهائی دیگر که برای کمک به تولید جریان داده های باج افزار به سرور فرمان و کنترل و بالعکس هستند را روی ان اپلود کرده اند.
این محققین نکته مهم دیگری قید کرده اند. انها میگویند که از این سرور برای حملات فیشینگ نیز استفاده شده و حاوی صفحات فیشیگ پیپال است. نشانه هائی حاکی از این که گروهی که در پس این فعالیتهای فیشینگ است عبری صحبت میکند وجود دارند. اطلاعات و شناسه های ربوده شده پیپال سپس به سرور دیگری در مکزیک ارسال شده اند که همان تکنیک اپلود فایل اما سیستم مدیریت محتوائی متفاوت را دارد.
CryPy بعد از الوده کردن سیستم, ابزار رجیستری و تسک منجر و سی ام دی و فرمان اجرا را غیر فعال میسازد. سپس به ابزار خط فرمان BCDEdit که برای فایلهای داده ها و تنظیم بوت است حمله برده و ریکاوری و خواندن فونت استارت را غیر فعال میکند.
سپس فایلهائی با اکستنشنهای زیر را رمزگذاری میکند.
*.
کد:
.تنها اعضای سایت قادر به دیدن این محتوا هستند. لطفاً وارد شوید و یا برای عضویت رایگان و بیدردسر در سایت کلیک کنید
بعد از پایان این مرحله پیام درخواست باج بزبان انگلیسی و با غلطهائی بسیار مشاهده میگردد و این نشان میدهد که این پیام توسط شخصی که به این زبان صحبت نمیکند نوشته شده است.
در این پیام قید شده که هر شش ساعت یک فایل معدوم میگردد.
این خبر انحصارا برای ترفندستان ترجمه شده و کلیه حقوق مادی و معنوی ان مربوط و متعلق به وب سایت ترفندستان است. کپی این خبر فقط با قید نام ترفندستان مجاز است.