قفل ناگهانی سيستم‌های دارای سيستم‌عامل ويندوز 7 توسط اشکالی در نسخه 3 باج‌افزار GandCrab

چهارشنبه ۱۹ اردیبهشت ۱۳۹۷
متخصصین شرکت امنیتی Fortinet نسخه‌ی جدیدی از باج‌افزار GandCrab (نسخه‌ 3) را کشف کردند.
مرکز آپا شریف
SUT-APA-LOGO

متخصصین شرکت امنیتی Fortinet نسخه‌ی جدیدی از باج‌افزار GandCrab (نسخه‌ 3) را کشف کردند که این باج‌افزار سیستم را وادار به راه‌اندازی مجدد (reboot) می‌کند و تلاش می‌کند عکس صفحه‌نمایش رایانه‌ی شخصی را تغییر دهد.
GandCrab از طریق هرزنامه‌ها منتشر می‌شود و Fortinet هفته‌ی گذشته شاهد افزایشی در پیام‌هایی که این بدافزار را توزیع می‌کنند بوده است. رایانامه‌های حاوی نسخه‌ی 2.1 این بدافزار بیشتر کاربران ایالات‌متحده امریکا را هدف قرار داده است (75% رایانامه‌ها). کاربران انگلیس، کانادا، رومانی و افریقای جنوبی نیز تحت‌تأثیر این بدافزار قرار گرفته‌اند.
نسخه‌ی جدید این باج‌افزار قابلیت های نسخه‌ی قبلی را حفظ کرده است و تفاوت اصلی بین این دو نسخه تلاش برای تغییردادن عکس صفحه‌نمایش است که تنها بر روی سیستم‌های ویندوز 10 و ویندوز 8.1 کار می‌کند. محققانی که این ویژگی جدید را تجزیه و تحلیل می‌کنند یک اشکال برنامه‌نویسی در این باج‌افزار کشف کرده‌اند که می‌تواند دستگاه‌های دارای سیستم‌عامل ویندوز 7 را به طور ناگهانی قفل کند. زیرا به‌طور کامل راه‌اندازی نمی‌شود و در نقطه‌ای پیش از آنکه شل ویندوز (Windows Shell) به طور کامل بارگذاری شود، گیر می‌کند. بدان معنا که کاربر آلوده برای تعامل با ویندوز دارای رابط ویندوزی نبوده و تمام دستگاه ظاهراً غیرقابل استفاده می‌شود؛ همانند رفتار قفل صفحه‌ی باج‌افزار قبلی. کاربر تنها صفحه‌ی متن باج و صفحه‌ی دانلود مرورگر TOR را می‌تواند ببیند. به نظر می‌رسد این رفتاد عمدی نباشد.
متن باج‌خواهی، قربانی را به خواندن یک کپی از متن‌های باج‌خواهی “CRAB-DECRYPT.txt” که باج‌افزار در پوشه‌های مختلف برای راهنمایی نحوه‌ی بازیابی فایل‌های رمزشده قرار داده است هدایت می‌کند. بدون رابط ویندوزی کاربر عادی قادر به انجام چنین کاری نیست.
کاربران باید Task Manager را بااستفاده از کلیدهای ترکیبی CTRL+SHIFT+DEL راه‌اندازی نمایند تا به فرایند باج‌افزار خاتمه دهند و سیستم را مجدداً راه‌اندازی نمایند. هرچند ممکن است این مسئله اینگونه حل نشود؛ یعنی بدافزار دارای مکانیزم پایداری باشد که پس از راه‌اندازی مجدد دوباره اجرا ‌شود.
به منظور جلوگیری از نمایش «قفل صفحه» در راه‌اندازی‌های مجدد، قربانی باید فایل اجرایی بدافزار را از APPDATA%\Microsoft<random chars>.exe پس از پایان‌دادن به فرایند بدافزار بااستفاده از Task Manager، حذف کند. قربانیان باید رجیستری autorun باج‌افزار را نیز حذف نمایند.
اگرچه این ویژگی جدید GandCrab در تمامی سیستم‌های هدف به‌درستی کار نمی‌کند، اما فعالانه به‌کار گرفته می‌شود و این امر این کمپین بدافزاری را خطرناک‌تر می‌سازد.
به کاربران توصیه می‌شود همیشه قبل از بازکردن رایانامه‌های نا‌آشنای دارای پیوست، آن‌ها را اسکن و بررسی نمایند. همچنین باید یک پشتیبان‌ جداگانه از فایل‌های مهم‌شان ایجاد کنند تا در صورت آلوده‌شدن دستگاه‌شان بتوانند آن‌ها را بازیابی نمایند.