شناسایی باج‌افزار «Booyah»

به گزارش واحد متخصصین سایبربان؛ باج‌افزار جدیدی به‌تازگی شناسایی‌شده است که به کمک یک پرونده‌ی اجرایی به نام booyah.exe فعالیت‌ خود را آغاز می‌کند. این پرونده‌ی اجرای ظاهراً مانند هر برنامه‌ی دیگری نصب می‌شود و شامل یک dll است که عملیات رمزگذاری را انجام می‌دهد.

پس از این‌که رمزگذاری انجام شد، قربانی یک پرونده‌ی متنی به نام «WHATHAPPENDTOYOURFILES» را مشاهده خواهد کرد که حاوی پیام (انگلیسی) به شرح زیر است:‌
«سلام، پرونده‌های شما رمز شده است. اگر می‌خواهید آن‌ها را رمزگشایی کنید باید به من پول پرداخت کنید. اگر همین امروز اقدام به پرداخت کنید یک بیت کوین باید بپردازید و اگر روز دوم پرداخت کنید، ۲ بیت کوین و به همین ترتیب اگر روز هفتم پرداخت کنید باید  ۷ بیت کوین بپردازید؛ بنابراین عجله کنید!» هر بیت کوین در حال حاضر ۴۲۰ دلار آمریکا ارزش دارد.

در ابتدای این پیام یک شناسه‌ی عددی مشاهده می‌شود که به نظر می‌رسد جعلی است و برای همه‌ی قربانیان همین شماره در نظر گرفته‌شده است.

هر پوشه‌ای که رمز می‌شود یک پرونده به نام «CRIPTOSO.KEY» دارد که هنوز به‌درستی تحلیل نشده است؛ اما سایر پرونده‌هایی که در این پوشه هستند رمز می‌شوند و هیچ پسوندی به آن‌ها اضافه نمی‌شود.
فهرست پرونده‌های رمز شده در مسیر «%APPDATA%\%ID%» ذخیره می‌شود و چون شناسه ثابت است، شناسه با عدد ۷۵۸۲۷۵  جایگزین می‌شود.

نکته‌ی جالب این است که پیام در سامانه‌های ۳۲ بیتی ویندوز که هدف اصلی این بدافزار است به شکل زیر است که نام پنجره به‌صورت «!Salam» است و برای ارتباط با مجرم سایبری باید با رایانامه‌ی «[email protected]» ارتباط برقرار شود.

بدافزار از وب‌گاه videodrome69.com با آدرس آی‌پی ۲۰۰.۷۴.۲۴۱.۱۵۱ بارگیری می‌شود.
هم‌چنین در صورت عدم آلودگی پیام زیر نمایش داده می‌شود:

به نظر می‌رسد باج‌افزارها هرروز پیشرفت بیش‌تری دارند و هر بار با ترفندهای بیش‌تر و باهدف آلوده کردن بخش خاصی منتشر می‌شوند.

به کاربران توصیه می‌شود حتماً از همه‌ی پرونده‌های حساس خود پشتیبان گیری نمایند تا در صورت مواجهه با چنین بدافزارهایی راه بازگشتی داشته باشند. ناگفته نمایند که بیش‌تر باج‌افزار‌ها حتی پس از دریافت پول هم کلید رمزگشایی را در اختیار قربانی قرار نمی‌دهند.