خلاصه: یک باجافزار که به تازگی کشف شده است اجزاء خود را درون یک فایل تصویری ظاهرا بی ضرر پنهان میکند. به همین دلیل به وسیله آنتیویروسها شناسایی نمیشود.
باجافزار موسوم به SyncCrypt از طریق هرزنامهها توزیع میشود و در ضمیمه خود فایلهای WSF را که به ظاهر دستورات دادگاه هستند دارد، هنگامیکه پیوستها اجرا میشوند، کد جاوا اسکریپت جاسازی شده تصاویر به ظاهر بیضرر را از مکانهای خاصی استخراج میکند و اجزای مخرب را داخل آنها پنهان میکند.
اجزای باجافزار به عنوان فایلهای ZIP در داخل تصاویر ذخیره میشوند و اگر کاربر به سادگی از طریق مرورگر به URL آنها دسترسی پیدا کند راهاندازی نمیشوند. با این حال، JScript مزبور تنها عکسها را دانلود نمیکند بلکه اجزای مخرب (sync.exe، readme.html و readme.png) را نیز استخراج میکند.
فایل WSF همچنین یک کار ویندوزی زمانبندی شده به نام Sync ایجاد میکند. هنگامی که فایل sync.exe برای اولین بار اجرا میشود، شروع به اسکن کردن کامپیوتر قربانی میکند تا نوع خاصی از فایلها را پیدا کند و آنها را با استفاده از رمزگذاری AES رمزگذاری کند. این بدافزار از الگوریتم AES با کلید رمزگذاری عمومی RSA-4096 جاسازی شده برای رمزگذاری استفاده میکند.
این باجافزار بیش از ۳۵۰ نوع فایل را هدف قرار میدهد و پس از رمزگذاری پسوند .kk را به آنها اضافه میکند. این تهدید، فایلهایی را که در پوشههایی مانند: windows و program_files و programdata و wint و system volume information و desktop و read me و recycle.bin$ قرار دارند رمزگذاری نمیکند.
این باجافزار حدود ۴۳۰ دلار برای در اختیار قرار دادن کلید رمزگشایی درخواست میکند. مهاجمین به قربانیان یاد میدهند که چگونه پس از پرداخت باج با دادن یک فایل رمز رمز گشا را دریافت کنند.ایمیل هایی که به عنوان بخشی از تحلیل مورد استفاده قرار میگیرند عبارتند از: getmyfiles@keemail.me، getmyfiles@scryptmail.comو getmyfiles@mail2tor.com.
توزیع این باجافزار به دلیل توانایی آن برای دور زدن تشخیص بسیار موثر است. به گفته آبرامز، تنها یکی از ۵۸ عامل فعال در VirusTotal میتواند تصاویر مخرب را در زمان تجزیه و تحلیل تشخیص دهد. از سوی دیگر، Sync.exe دارای میزان تشخیص ۲۸ از ۶۳ بود.
برای محافظت در برابر باجافزارها، کاربران باید هنگام باز کردن فایل پیوست یا کلیک بر روی لینکها در ایمیلهای دریافت شده از منابع ناشناخته مراقب باشند. آنها همچنین بایستی از فایلهای خود به صورت دورهای پشتیبان تهیه کنند تا اطمینان حاصل شود که آنها بتوانند اطلاعات خود را بدون نیاز به پرداخت باج بازیابی کنند. نگه داشتن تمام نرم افزارها به صورت به روز شده در همه زمانها احتمال ابتلا به آلوده شدن را کاهش میدهد.