روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجرمان سایبری پیوسته در تلاشند روی هر چیزی که به نحوی باب دندان عموم است (از جمله گیم‌های محبوب) سرمایه‌گذاری کنند. بدافزارها اغلب وانمود می‌کنند نسخه‌ی پایرت شده یا ورژن موبایل گیم هستند؛ خصوصاً اگر مورد دومی که خدمتتان اشاره کردیم به طور رسمی عرضه نشده باشد.  

اخیراً سر و کله‌‌ی باج‌افزاری رمزگذار به نام Syrk پیدا شده است. Syrk خودش را در پوشش یک پک چیت برای بازی فورتنایت –بازی‌ای که ظرف دو سال برای خود 250 میلیون کاربر ثابت دست و پا کرد- قرار داده و به گیمرها دو چیت در یک پک را وعده می‌دهد: aimbot (یک ابزار اتو ایم[1]) و  WH (که به اسم ESP هم شناخته می‌شود، چیتی برای کشف لوکیشنِ سایر گیمرها در بازی). اما کاری که در اصل این پکیج انجام می‌دهد، رمزگذاری فایل‌های قربانی و باجگیری از اوست.

نحوه‌ی عملکرد باج‌افزار Syrk

بر اساس گفته‌های محققین Cyren، باج‌افزار Syrk در اصل کپیِ دست‌نخورده‌ی یک باج‌افزار منبع باز است. این نرم‌افزار به محض اجرا، به سرور فرمان و کنترل وصل شده و برنامه‌های زیر را غیرفعال می‌کند:

• ویندوز دیفندر
• UAC (سیستمی که از کاربر تقاضای صدور مجوز برای امور ادمین را دارد)
• اپ‌های نظارت پروسه که می‌توانند برای شناسایی آلودگی بکار روند (نظیر Task Manager، Process Monitor و Process Hacker)

این رمزگذار همچنین خود را به فهرست اتولود نیز اضافه می‌کند تا کاربر نتواند تنها با ریبوت کردن دستگاه از شر آن خلاص شود. اگر هر درایو یو‌اس‌بی به کامپیوتر وصل باشد، Syrk تلاش می‌کند آن‌ها را نیز آلوده سازد. سپس این بدافزار شروع می‌کند به مکان‌یابی و رمزگذاری فایل‌های رسانه‌ای، داکیومنت‌های متنی، اسپردشیت‌ها و ارائه‌ها، آرشیوهای ZIP و  RAR و همچنین فایل‌های فوتوشاپ و ویژوآل استودیوی مایکروسافت. اینها در نتیجه افزونه‌ی نامفهوم .SYRK را در پی خواهد داشت.

مانیتور درخواست چیزی نامفهوم را برای باجگیری نمایش می‌دهد.

متنِ بک‌گراند با ماسک گای‌فاکس می‌گوید تنها راه برای بازیابیِ فایل‌ها تماس گرفتن با مجرمان آن هم از طریق ایمیل است و نکته‌ی مهم اینکه متن می‌گوید قربانی ملزم است به آن‌ها باج بدهد. قربانی برای انجام این کار زمان محدودی دارد: Syrk هر دو ساعت یکبار فایل‌های رمزگذاری‌شده را پاک خواهد کرد- از فولدر عکس‌ها شروع کرده به سراغ دسکتاپ رفته و در نهایت هم کلک داکیومنت‌های کاربر را خواهد کند.

بازیابی رایگان فایل‌ها

خبر خوب این است که نیازی نیست باج دهید، حتی اگر Syrk به کامپیوتر شما هم رخنه و داکیومنت‌های شما را رمزگذاری کرده باشد. نسخه‌ی فعلی آن در واقع رمز لازم برای رمزگشایی فایل‌ها را درست روی دستگاه آلوده ذخیره می‌کند. رمز در فولدر C:\Users\Default\AppData\Local\Microsoft\, در فایلی به نام  -pw+.txt or +dp-.txt است.

برای بازیابی فایل‌های خود:

• رمز را کپی کرده
• در پنجره‌ی درخواست باج، گزینه‌ی Show My ID را فشار دهید تا صفحه‌ای که آی‌دی شما و دعوت‌تان به وارد کردن رمز برای رمزگشایی فایل‌هایتان را نشان می‌دهد باز شود
• رمز را در فیلد مناسب پیست نموده و گزینه‌ی Decrypt my Files را فشار دهید

این برنامه عکس‌ها و داکیومنت‌های رمزگذاری‌شده را بازیابی و سپس دو فایل  .exe ساخته و اجرا می‌کند که هر آنچه از این بدافزار باقی مانده است را پاک خواهد کرد.

راه دیگری هم برای ذخیره‌ی فایل‌هایتان وجود دارد، هر چند کمی سخت‌تر است. حقیقت این است که این بدافزار از اجزای رمزگشایی برخوردار است که داکیومنت‌ها را بازیابی خواهد کرد (به شرط اینکه موفق به استخراج و اجرای آن شده باشید). البته این آلودگی باید به صورت دستی پاک شود.

چطور از خود در برابر این باج‌افزار جلوگیری کنیم

به نقل از محققین، اطلاعات پاک‌شده توسط Syrk به احتمال بسیار زیادی قابل‌بازیابی است؛ هر چند باید در این راستا کمک‌های حرفه‌ای نیز دریافت شود. بازیابی فایل‌ها با استفاده از کلیدی که به صورت لوکال ذخیره شده است شاید علی‌الحساب کار راه‌انداز باشد اما سازندگان این بدافزار ممکن است بعداً برای اینکه نگذارند کاربران بدون دادن باج، فایل‌های خود را رمزگشایی کنند ابزار خود را تغییر دهند. طبق‌معمول، بهترین تاکتیک برای جلوگیری از این باج‌افزار، پیشگیری از ورودش است.

• هرگز برنامه‌ها را از منابع نامعتبر دانلود نکنید، حتی اگر گیم‌پلی‌های هیجان‌انگیز وعده می‌دهند.
•  از فایل‌های خود بک‌آپ گرفته و آن‌ها را ذخیره کنید تا بدان‌ها مستقیماً از کامپیوترتان دسترسی داشته باشید. اگر از HDDهای خارجی یا فلش درایوها استفاده می‌کنید آن‌ها را تنها مادامیکه بک‌آپ دارد تکمیل می‌شود متصل نگه دارید.
•  راه‌حل مطمئنی برای محافظت نصب کنید. پیشنهاد ما به شما Kaspersky Internet Security است. این راه‌حل Syrk را به عنوان موردی آلوده شناسایی می‌کند؛ این بدان‌معناست که دیگر این باج‌افزار اجازه پیدا نخواهد کرد به فایل‌هایتان دسترسی داشته باشد؛ حتی اگر سعی داشته باشید آن را دانلود و یا اجرا کنید.

[1] Autoaiming