باج افزار جدید ارز دیجیتال بازیکنان فورتنایت را هدف گرفته است

باج افزار جدید ارز دیجیتال بازیکنان فورتنایت را هدف گرفته است

این روزها سر و کله باج‌افزاری جدید با نام «سایرک» (Syrk) پیدا شده که فایل‌های قربانیان را رمزگذاری کرده و اگر مبلغ مورد نظر را پرداخت نکنند، شروع به پاک کردن فولدرهای روی هارد آن‌ها می‌کند! بر اساس اطلاعات منتشر شده، این بدافزار بر پایه برنامه متن‌باز Hidden-Cry ایجاد شده است. Hidden-Cry یک برنامه رمزگذاری است که دسامبر (دی) سال گذشته منتشر شد و توسط بسیاری از بدافزارهای همان سال مورد استفاده قرار گرفت.

جالب است بدانید که سایرک بازی «فورتنایت» را هدف قرار داده و قربانیانش را از میان ۲۵۰ میلیون بازیکن این بازی انتخاب می‌کند.

به نقل از کوین‌دسک، «کریس مورالس»، رئیس شرکت امنیتی «وکترا» می‌گوید:

نفوذ بدافزارها به حوزه بازی‌های رایانه‌ای آنلاین از همان ابتدا غیرقابل اجتناب بود. مهندسی اجتماعی در این حوزه مدت‌هاست که مورد استفاده قرار می‌گیرد. مخاطبان زیاد بازی‌های رایانه‌ای و شهرت آنها برای طی کردن یک شبه‌ی راه صد ساله، باعث شده تا به هدف مناسبی برای بدافزارها بدل شوند. این بدافزارها در لباس یک برنامه هک بازی ظاهر می‌شوند و همین مسئله فرصتی ایده‌آل در اختیارشان قرار می‌دهد که نیازی به تایید فروشگاه‌های نرم‌افزاری و عبور از اقدامات امنیتی معمول نداشته باشند. اجرای بدافزار و رمزگذاری اطلاعات در قالب ابزارهای هک بازی‌های رایانه‌ای بسیار راحت است.

باج افزار جدید ارز دیجیتال بازیکنان فورتنایت را هدف گرفته است
تصویری که پس از رمزگذاری داده‌ها برای کاربر به‌نمایش در می‌آید

سایرک به شکل یک نرم‌افزار تقلب در بازی وارد رایانه کاربران می‌شود. این بدافزار با عنوان SydneyFortniteHacks.exe اجرا می‌شود و اقدام به رمزگذاری داده‌های روی هارد و فلش‌های متصل به دستگاه می‌کند. اگر باج‌افزار، ارزهای دیجیتال درخواستی خود را دریافت نکند، قدم به قدم، پوشه‌های مهم کاربر را حذف می‌نماید. پوشه اسناد (Documents) آخرین مرحله از حذف فایل‌هاست.

مورالس در ادامه می‌افزاید:

قدم بعدی ویروس ایجاد یک روند پاک‌سازی در مدت زمان مشخص است. فایل‌ها هر دو ساعت به ترتیب مقابل پاک خواهند داشت: %userprofile%\Pictures; %userprofile%\Desktop; and %userprofile%\Documents

خوشبختانه بدافزار از الگوی حمله‌ای شناخته‌شده استفاده می‌کند و نرم‌افزارش نیز قابل دور زدن است. قربانیان به‌ راحتی می‌توانند با بررسی تعدادی از فایل‌های متنی به رمزعبور فایل‌ها دسترسی پیدا کنند. رمزعبور آزادسازی فایل‌ها در مسیر زیر قابل دسترسی است:

C:\Users\Default\AppData\Local\Microsoft\-pw+.txt

‘passwordonly’

C:\Users\Default\AppData\Local\Microsoft\+dp-.txt

‘pass : password’

ممکن است علاقه مند باشید
guest

لطفا در صورت مشاهده دیدگاه‌های حاوی توهین و فحاشی یا خلاف عرف جامعه لطفا با گزارش سریع آن‌ها، به ما در حفظ سلامت بستر ارتباطی کاربران کمک کنید.

0 دیدگاه