SyncCrypt باج افزار جدیدی است که از روش خاصی برای دانلود فایل های مخرب استفاده می کند و این روش باعث می شود شناسایی این باج افزار برای آنتی ویروسها دشوار باشد.
طبق گزارش Bleeping Computer این باج افزار توسط یکی از محققین xXToffeeXx شناسایی شد و از طریق اسپم هایی حاوی فایل ضمیمه با پسوند .wsf (Windows Script File) منتشر می شوند. طبق گفته مدیر Bleeping Computer لارنس آبرامز، آنچه که در این باج افزار غیرعادی است علاوه بر استفاده از فایل .wsf (که بکارگیری آنها بسیار نادر است)، این است که این فایل، تصویری حاوی فایل های آلوده باج افزار را دانلود می کند. همچنین این تصویر باعث می شود که باج افزار برای اکثر آنتی ویروسهای روی Virus total غیرقابل شناسایی باشد.
یکبار که ایمیل باز شود و هدف تصمیم بگیرد فایل ضمیمه را باز کند، روش مهندسی اجتماعی مورد استفاده سند ضمیمه را به عنوان تصویر یک احضاریه دادگاهی معرفی می کند و یک اسکریپت جاوا اسکریپت فعال است تا تصویر را دانلود کند.
همچنین آبرامز می گوید: چه تصویر باز شود چه خیر، یک فایل .zip حاوی Syns.exe ، readme.html، readme.png دانلود و باز می شود. خبر خوب اینکه، اگرچه تصویر می تواند از شناسایی آنتی ویروسها مخفی بماند اما فایل های داخل فایل .zip امکان شناسایی شدن توسط آنتی ویروس ها را دارند.
محققان متوجه شدند که virus total هنوز هم کمتر از 50 درصد آنها را شناسایی کرده است.
اگر این باج افزار به درستی نصب شود، فایل های سیستم قربانی با پسوند .kk رمزنگاری می شوند و پیغامی نمایش داده می شود که از قربانی باجی حدود 0.1 بیت کوین ظرف 48 ساعت درخواست می کند.
**در حال حاضر هیچ راهی برای رمزگشایی و بازگردانی فایل های آلوده توسط این باج افزار وجود ندارد و تنها راه حل این است که راهکارهای پیشگیرانه استفاده شود و از وجود فایل پشتیبان از فایل های خود اطمینان داشته باشید.
منبع : https://www.scmagazine.com/
