بررسیهای اخیر محققان امنیتی نشان میدهد که باجافزاری جدید، با بهرهگیری از چندین روش مختلف کاربران چینی را مورد هدف قرار داده و بهسرعت در حال گسترش است.
به گفته محققان، این باجافزار بهلحاظ ساخت و توسعه از پیچیدگی خاصی برخوردار نیست و با یک روش ابتدایی فایلهای قربانیان خود را با استفاده از رمز XOR بهصورت رمزگذاری شده در میآورد. همچنین این باجافزار بهجای بیتکوین، از قربانیان خود میخواهد که مبلغ ۱۱۰ یوان (معادل ۱۶ دلار آمریکا) از طریق پرداخت درون برنامهای در ویچت «WeChat Payment» پرداخت کنند.
براساس گزارشهای منتشر شده، این باجافزار جدید تنها در چهار روز گذشته بیش از ۱۰۰ هزار کامپیوتر را در کشور چین آلوده کرده است. بررسیها نشان میدهد که این باجافزار همه فایلهای کاربران، بجز فایلهایی با پسوندهای gif، exe و tmp را رمزگذاری میکند.
سرقت گذرواژههای کاربران توسط باجافزار
براساس گزارش وبسایت شبکه فناوری پکن «Huorong»، این باجافزار بهطور اختصاصی کاربران چینی را مورد هدف خود قرار داده است. بهصورتی که دارای قابلیتی متفاوت برای سرقت گذرواژه حسابهای کاربری در سرویسهایی است که اغلب کاربران چینی از آنها استفاده میکنند. گذرواژههای کاربران در سرویسهای زیر، از جمله اهداف این باجافزار هستند.
Alipay NetEase 163 email service Baidu Cloud Disk Jingdong (JD.com) Taobao, Tmall AliWangWang QQ websites.
بهرهبرداری از آلودهسازی زنجیره تامین
به گفته محققان، سازندگان این باجافزار به نرمافزار برنامهنویسی «EasyLanguage» که بسیاری از توسعهدهندگان چینی از آن استفاده میکنند، کدهای مخرب این باجافزار را تزریق کردهاند. این نرمافزار برنامهنویسی که اکنون به یک نرمافزار مخرب ایجاد باجافزار تبدیل شده است، کدهای مخرب باجافزار را در تمام برنامههای تولید شده توسط این نرمافزار برنامهنویسی تزریق میکند.
استفاده از امضای دیجیتالی سرقتی
یکی دیگر از نکات قابل توجه در این باجافزار، استفاده از امضای دیجیتالی به سرقت رفته شرکت Tencent است. این موضوع باعث شده است که برخی از آنتیویروسها در شناسایی این باجافزار، موفق عمل نکنند.
توضیحات بیشتر در:
- New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs