باج افزار ZCrypt

باج افزار ZCrypt

تاریخ ایجاد

با توجه به نتایج بررسی آزمایشگاه امنیتی سوفوس، باج­ افزار جدیدی در سطح اینترنت منتشر شده است که علاوه بر ویژگی­ های معمول باج­ افزار، می­تواند همانند یک ویروس عمل کرده و خود را بدون دخالت کاربر در سطح شبکه منتشر کند.
تروجان­ ها، برنامه ­هایی هستند که در ظاهر مجاز و کاربردی بوده ولی در باطن کاملاً مخرب می‌­باشند. تروجان­ ها برای انتشار نیاز به تعامل با کاربر دارند و از طریق روش­ هایی مانند ایمیل و یا صفحات وب آلوده منتشر می­شوند و نمی­توانند مانند ویروس ها توسط خودشان منتشر شوند.
ویروس­ ها به گونه ­ای برنامه ­نویسی می­ شوند که بتوانند توسط خودشان از طریق روش ­هایی مانند کپی کردن در دیگر فایل­ها و یا دایرکتوری­های سیستم و یا تحت شبکه و یا کپی کردن در تجهیزات ذخیره­ سازی اطلاعات منتشر شوند.
به تازگی نوع جدیدی از باج ­افزارها منتشر شده­ است که خاصیت انتشار بدون واسطه خود را از ویروس­ ها به ارث برده است (بیشتر باج­افزارها برای هر سیستم قربانی یک کلید رمزنگاری منحصر به فرد تولید می­کنند. بنابراین اگر در یک سازمان چندین سیستم آلوده شدند، باید برای هرکدام از آن­ها کلیدهای جداگانه خریداری شود).
آزمایشگاه امنیتی سوفوس، گونه جدید باج­افزار منتشر شده را Troj/Agent-ARXC و Troj/Mdrop-HGD نامگذاری کرده است. البته با توجه به نتایج به‌دست آمده، این باج­افزار هنوز به گونه مؤثری قادر به انتشار خود نمی­باشد. این باج­ افزار در ابتدا با ارسال یک ایمیل حاوی صورتحساب برای فرد قربانی سعی در فریب وی دارد.
با باز کردن ایمیل و دانلود فایل مربوطه و اجرای فایل invoice-order.exe ، باج­ افزار شروع به رمزکردن فایل‌های مورد نظر خود می­کند و پس از آن پیغام زیر را نشان می­دهد.
با توجه بررسی روند فعالیت این باج ­افزار مشخص شده است که پس از این مرحله باج ­افزار خودش را در پوشه شبکه که به اشتراک گذاشته شده و همچنین در حافظه­ های جانبی متصل به سیستم کپی می­کند. باج­افزار این عمل را با کپی کردن فایل zcrypt.lnk به همراه autorun.inf در مقصد مورد نظر انجام می­دهد. بنابراین با اتصال حافظه جانبی آلوده به سیستم و یا مشاهده پوشه شبکه، باج ­افزار می­تواند در سیستم جدید نیز منتشر شود.
البته با توجه به اینکه Autorun به صورت پیش­فرض در سیستم ­های ویندوزی غیرفعال می باشد، خطر آلوده شدن مجدد یک سیستم دیگر از این طریق کم می­باشد.
همچنین این باج ­افزار خودش را در پوشه AppData\Roaming نیز کپی می­کند و درنتیجه به طور خودکار در سیستم ­هایی که در همان شبکه قرار دارند گسترش پیدا می­کنند.

برچسب‌ها