بدعتی جدید در دنیای هکری: آلوده کنید و کلید دریافت کنید

در حرکتی جدید هکرها تصمیم گرفته‌اند رویکرد خود را تغییر دهند. در استراتژی جدید که هکرها واژه پاپ‌کورن را برای آن برگزیده‌اند، از قربانی خواسته می‌شود که یکی از دو رویکرد پرداخت باج یا آلوده کردن دو سامانه کامپیوتری را انتخاب کند تا در ازای آن کلید رمزگشایی فایل‌ها در اختیارش قرار گیرد. در چنین شرایطی که هر کاربری در معرض فشار عصبی قرار می‌گیرد، ترجیح می‌دهد به جای پرداخت باج مربوطه سامانه‌های دیگری را آلوده کند تا بدون پرداخت هیچ‌گونه هزینه‌ای به فایل‌های خود دسترسی داشته باشد. این الگو که شباهت زیادی به عملکرد شرکت‌های هرمی دارد، شناسایی هکر اصلی را تقریبا غیر ممکن خواهد کرد و قربانیان را به عنوان یک مجرم سایبری نشان خواهد داد.

مطلب پیشنهادی

گزارش امنیتی مک‌آفی

موج جدیدی از سرقت هواپیماهای بدون سرنشین در راه است

اما این تمام داستان نیست. هکرها از یک ترفند روانی دیگری برای ترغیب کاربران به انجام این عمل استفاده می‌کنند. آن‌ها به قربانی اعلام می‌دارند که اگر در مدت زمان هفت روز این کار را انجام دهد کلید دستیابی به فایل‌های رمزگذاری شده را در مقابل یک بیت‌کوین دریافت خواهد کرد. این کلید روی سروری که در اختیار باج‌افزارنویسان قرار دارد ذخیره‌سازی شده است. اگر باج در این مدت به هکرها پرداخت نشود کلید رمزنگاری به طور خودکار از روی سرور پاک شده و دستیابی به فایل‌ها برای همیشه غیر ممکن خواهد بود. همچنین اگر کاربر چهار مرتبه تلاش کند تا به فایل‌های خود دست پیدا کند و کلید رمزگشایی را به اشتباه وارد کند در این مرتبه حالت تمامی فایل‌های کاربر حذف می‌شوند.

عملکرد این باج‌افزار چگونه است؟

زمانی که یک سامانه کامپیوتری در معرض تهدید این باج‌افزار قرار می‌گیرد، باج‌افزار ابتدا جستجویی در سامانه انجام می‌دهد تا اطمینان حاصل کند باج‌افزار از قبل به مرحله اجرا درنیامده باشد. اگر نتایج حاصل از جستجو موفقیت‌آمیز باشد، به معنای آن‌ است که اجرای باج‌افزار باید خاتمه پیدا کند. اما اگر سامانه هنوز به این باج‌افزار آلوده نشده باشد، ابتدا تصویری که قرار است در پس زمینه سیستم قربانی به نمایش گذاشته شود دانلود می‌شود و در ادامه با استفاده از الگوریتم رمزنگاری 256 بیتی فایل‌های روی سیستم قربانی رمزگذاری می‌شود. بعد از اتمام این فرآیند به انتهای فایل‌ها فرمت فایلی .kok یا .filock افزوده می‌شود. در مدت زمان رمزنگاری فایل‌ها یک پنجره‌ نصب ظاهر می‌شود تا کاربر را متقاعد سازد که برنامه‌ای در حال نصب است.

پس از آن‌که رمزگذاری فایل‌ها به اتمام رسید، باج‌افزار دو رشته base64 را تبدیل کرده و در یک فرمت درخواست باج در فایل restore_your_files.txt قرار می‌دهد. در ادامه فایل HTML در مرورگر کاربر به نمایش در آمده و یک بیت‌کوین از او درخواست می‌شود. اما در این پیام به کاربر اعلام می‌شود که اگر موفق شد در این مدت دو سامانه کامپیوتری را آلوده سازد و اگر آن دو نفر باج مربوطه را پرداخت کنند، کلید رمزگشایی فایل‌ها در اختیار او قرار می‌گیرد. در این حالت کاربر باید به یک آدرس اینترنتی که در پیام باج‌خواهی به او نشان داده می‌شود مراجعه کند. در آن آدرس فایلی روی یک سرور که در شبکه‌های مخفی قرار دارد ذخیره شده که دستورات بعدی در آن قرار دارند.

بررسی سورس کدهای این باج‌افزار نشان می‌دهد روتینی در آن قرار دارد که تنها چهار مرتبه به کاربر اجازه می‌دهد تا کدها را درست وارد کند. بعد از چهار مرتبه تلاش فایل‌های کاربر حذف خواهند شد. کارشناسان اعلام داشته‌اند در حال حاضر فرآیند رمزگشایی این باج‌افزار امکان‌پذیر نیست، به دلیل این‌که هکرها دائما در حال تغییر کدها هستند.