به گزارش کارگروه بینالملل سایبربان؛ شرکت مایکروسافت امروز اعلام کرد که یک حمله مخرب را در اوکراین مشاهده کرده است که در آن یک نوع بدافزار در پوشش باج افزار اطلاعات رایانههای آلوده را پاک کرده؛ اما هیچ مکانیسم بازیابی و پرداخت باجی از خود ارائه نکرده است.
مرکز اطلاعات تهدید مایکروسافت اواخر شنبهشب در یک پیام وبلاگی اعلام کرد:
در حال حاضر و بر اساس قابلیت مشاهده مایکروسافت، گروههای تحقیقاتی ما این بدافزار را در دهها سیستم آسیبدیده شناسایی کردهاند و این تعداد ممکن است با ادامه تحقیقات ما افزایش یابد.
این شرکت گفت:
این سیستمهای آسیبدیده به چندین سازمان دولتی، غیرانتفاعی و سازمانهای فناوری اطلاعات که همگی در اوکراین مستقر هستند تعلق دارند. هنوز عامل توزیع شناسایی نشده و مشخص نیست که این حمله به اهدافی فراتر از اوکراین سرایت کرده یا نه.
مایکروسافت در ادامه توضیح داد:
درست مانند بدافزارهای NotPetya و BadRabbit، این مورد جدید نیز دارای مؤلفهای است که اطلاعات بوت مستر (MBR) یک کامپیوتر را بازنویسی میکند و از بوت شدن آنها جلوگیری میکند. سپس این باج افزار صفحه راهاندازی را با یک یادداشت باج جایگزین میکند که شامل هزینه باج، آدرس بیت کوین برای دریافت باجها و شناسهای برای تماس با مهاجمان است.
درصورتیکه قربانیان موفق به بازیابی اطلاعات بوت مستر و بخش بوت آپ خود شوند، این بدافزار فایلهایی با پسوند خاص و تا حجم 1 مگابایت را از طریق بازنویسی محتویات آنها با تعداد ثابتی از بایتهای 0xCC خراب میکند. پس از بازنویسی محتویات، عامل تخریبکننده نام هر فایل را با یک پسوند ظاهراً تصادفی چهار بایتی تغییر میدهد.
باوجوداینکه مهاجمان 10 هزار دلار باجخواهی کردهاند؛ اما آدرس بیت کوین آنها فقط شامل یک پرداخت 5 دلاری است.
محققان مایکروسافت در انتها خاطرنشان کردند که هنوز قادر به پیوند دادن این گروه به هیچ گروه هکری شناختهشدهای نیستند و در حال حاضر مهاجمان را با نام موقت DEV-0586 میشناسند.
