شرکت Proofpoint از انتشار باجافزاری خبر داده که عملکردی بسیار متفاوت با باجافزارهای رایج این روزها دارد. این باجافزار موسوم به Ransoc با بهرهگیری از اطلاعات شبکههای اجتماعی و فایلهای ذخیره شده بر روی دستگاه نه در ازای برگرداندن فایلها که در عوض افشا نکردن پیشینه کاربر از او اخاذی میکند.
Ransoc با نمایش هشداری جعلی و با بهره گیری از روشهای مهندسی اجتماعی کاربر را وادار به پرداخت باج میکند.
در این باجافزارها محدودسازی با نمایش دائمی یک تصویر به نحوی که کاربر قادر به بستن و یا باز کردن پنجره دیگری نباشد صورت میپذیرد. در تصاویر به نمایش درآمده در اکثر نمونههای این گونه باجافزارها، معمولاً، اینطور القا میشود که قفل شدن سیستم توسط نهادهای امنیتی و به دلیل نقض شدن قوانین توسط کاربر، انجام شده است.
اما عملکرد Ransoc فراتر از نمایش یک تصویر است. این باجافزار ابتدا نشانی IP دستگاه را بررسی کرده و سپس تمامی ترافیک ارسالی خود را به شبکه TOR منتقل میکند.
بر طبق بررسیهای شرکت Proofpoint، باجافزار نام فایلهای موجود بر روی دیسک سخت دستگاه را از لحاظ مرتبط بودن آنها با اقدامات غیراخلاقی مورد بررسی قرار میدهد. همچنین پوشههای مربوط به نرمافزار Torrent را نیز با همین هدف پویش میکند.
Ransoc با رصد ارتباطات، پروفایل کاربر را در شبکههای اجتماعی Facebook،وLinkedIn و Skype شناسایی میکند.
در ادامه با نمایش یک هشداری جعلی در مرورگرهای IE – در سیستم عامل Windows – و Safari – در سیستم عامل OS X – اینطور القا میکند که بر اثر کارهای غیرقانونی، کاربر میبایست در فرصتی 24 ساعته مبلغ اعلام شده را بعنوان جریمه پرداخت کرده و با این کار از پیگردهای قانونی و اعمال جرایم بیشتر جلوگیری کند.
در پیام نمایش داده شده از تصاویر به اشتراک گذاشته شده کاربر بر روی پروفایلهایی که پیشتر باجافزار آنها را شناسایی کرده بود استفاده میشود. در حقیقت با این کار سعی میشود اخطار جعلی واقعی به نظر برسد.
همچنین به گفته محققان Proofpoint بخشی از کد این باجافزار به کنترل دوربین دستگاه اختصاص دارد؛ هر چند این محققان نشانهای مبنی بر فعال بودن این بخش از باجافزار نیافتهاند.
Ransoc در صورت فعال بودن هر یک از پروسههای regedit،وmsconfig و taskmgr آنها را متوقف کرده و این کار هر 100 ثانیه یکبار تکرار میکند. هدف از این کار دشوار نمودن پاکسازی دستی آلودگی است.
این باجافزار تنها با اضافه کردن کلید زیر در محضرخانه (Windows Registry) خود را با هر بار راهاندازی سیستم اجرا میکند:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler
بنابراین با بالا آوردن دستگاه در حالت Safe Mode و حذف کلید فوق، در راهاندازی بعدی باجافزار فعال نخواهد بود.
نکته غیرعادی دیگر در خصوص اینباج افزار درخواست پرداخت باج نه از طریق Bitcoin که از طریق کارت اعتباری است! برای تشویق پرداخت، گردانندگان Ransoc اعلام میکنند که در صورت عدم تکرار جرایم مطرح شده در مدت 180 روز پول واریزی به کاربر برگردانده خواهد شد!
ضدویروسهای McAfee،وBitdefender و ESET فایل مخرب این باجافزار را با نامهای زیر شناسایی و پاکسازی میکنند.
McAfee:GenericR-IUI!30BF1D54830E
Bitdefinder:Trojan.Generic.19662986
Eset:Win32/Agent.XTP
