باج‌افزار Shrug

اخیرا باج‌افزار جدیدی در حال انتشار است که خوشبختانه بدلیل اشتباه در کد مهاجمین، فایل‌ها به راحتی قابل بازیابی هستند. باج‌افزار Shrug برای اولین بار در ۶ جولای (۱۵ تیر) مشاهده شده است که در نرم‌افزارها و برنامه‌های بازی‌های کامپیوتری جعلی جاسازی شده است. کاربران فریب خورده با پیامی مواجه می‌شوند که توسط مهاجمی با عنوان Martha ایجاد شده است.
مشابه سایر باج‌افزارها، Shrug نیز پیامی را به کاربر نشان می‌دهد که از قربانی مبلغ ۵۰ دلار در قالب بیت‌کوین درخواست می‌کند و به او سه روز مهلت می‌دهد تا پرداخت را انجام دهد، در غیر این صورت فایل‌های قربانی حذف خواهند شد. فایل‌های قربانی با پسوند .SHRUG رمزگذاری می‌شوند. پیغام نمایش داده شده به کاربر به صورت تصویر زیر است:
 

 

باج‌افزار برای هر کاربر قربانی یک کلید مجزا تولید می‌کند. اما پژوهشگران شرکت امنیت سایبری LMNTRIX، متوجه شدند که نویسندگان باج‌افزار بدون قصد و از روی اشتباه کلیدهای مورد نیاز برای رمزگشایی فایل‌های کاربر را در پوشه آنها قرار داده‌اند. وجود این کلیدها باعث می‌شود که کاربران بتوانند فایی‌های قفل شده خود را بازیابی کنند. کلیدها بدون هیچگونه رمزگذاری، در رجیستری جاسازی شده‌اند.
پژوهشگران می‌گویند که قربانیان باید سیستم خود را مجدد راه‌اندازی (restart) کنند تا فرایندی که باج‌افزار برای قفل کردن موس و صفحه‌کلید استفاده می‌کند متوقف شود.
سپس کاربر می‌تواند فایل اصلی باج‌افزار را در آدرس زیر حذف کند:

 C:\Users\USERNAME\AppData\Local\Temp\shrug.exe 

در ادامه کاربر باید به رجیستری مراجعه کند و کلید Shrug در آدرس زیر را پاک کند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

در نهایت با راه‌اندازی مجدد سیستم، باج‌افزار پاک خواهد شد.
پژوهشگران معتقدند که نویسندگان این باج‌افزار تازه وارد و مبتدی هستند و مقدار پایین مبلغ درخواست شده نیز حاکی از اعتماد به نفس پایین آنهاست. اما پژوهشگران دو دلیل دیگر را برای این مبلغ پایین بیان کرده‌اند. دلیل اول این است که آن‌ها تنها در حال آزمایش باج‌افزار خود هستند و دلیل دوم مجاب کردن کاربران به پرداخت باج، بدلیل پایین بودن مقدار آن است.
هرچند که این باج‌افزار خطر جدی ایجاد نمی‌کند، اما بهترین راه مقابله با اینگونه حملات باج‌افزاری، دانلود و استفاده از نرم‌افزارها از منابع معتبر و قانونی است.

منبع: