مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی از خانوادهی HiddenTear به نام Symmyware خبر میدهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 1 نوامبر سال 2018 میلادی شروع شده است. این باجافزار از الگوریتم رمزنگاری AES در حالت CBC - 128 بیتی برای رمزگذاری فایلها استفاده میکند و تنها فایلهای موجود در دایرکتوریهایی خاص و با پسوندهایی مشخص را که در ادامه به آنها اشاره خواهیم نمود، رمزگذاری میکند. طبق بررسیهای انجام شده این باجافزار پس از اجرا، دو فایل اجرایی با نامهای hyBrDFjOidLuty.exe و PsExec.exe در همان دایرکتوری که فایل اصلی وجود دارد، ایجاد میکند که تمام فرایند رمزگذاری فایلها توسط فایل hyBrDFjOidLuty.exe صورت میگیرد و فایلهای اجرایی مورد اشاره پس از اتمام فرایند رمزگذاری حذف میشوند. طبق بررسیهای انجام شده ریشهیابی باجافزار Symmyware به صورت زیر میباشد:
HiddenTear >> Scrabber , EnybenyCrypt , SnowPicnic , SymmyWare
- 2