PyLocky خانوادهای از باجافزارهاست که با استفاده از زبان برنامهنویسی پایتون توسعه دادهشده است. این باجافزار همه فایلهای موجود بر روی ماشین قربانی را رمز میکند. برای مقابله با این باجافزار، Cisco یک ابزار رمزگشایی مجانی منتشر کرده است.
ازآنجاکه این ابزار نیاز به ضبط دستورات اولیه PyLocky و کنترل ترافیک ماشین آلوده را دارد، این ابزار تنها بر روی ماشین آلودهای که ترافیک شبکه آن مانیتور شده است کار میکند.
درصورتیکه ترافیک اولیه ضبط نشده باشد این ابزار رمزنگاری قادر به بازیابی فایلها رمزنگاریشده نیست. این محدودیت بدان دلیل است که تماس اولیه بدافزار با سرور برای ارسال اطلاعاتی است که در فرایند رمزنگاری از آنها استفاده میشود.
زمانی که PyLocky اجرا میشود، یک شناسه کاربری و رمز عبور تصادفی ایجاد میکند. این بدافزار اطلاعاتی را در مورد دستگاه آلوده با استفاده از WMI جمعآوری میکند. این بدافزار یک بردار تصادفی اولیه تولید کرده و پس از کدگذاری آن به Base64 به سرور ارسال میشود.
پس از به دست آوردن مسیر مطلق همه فایلهای موجود بر روی ماشین قربانی، بدافزار الگوریتم رمزنگاری را صدا زده و بردار تصادفی و کلمه عبور مذکور را به آن میدهد. فایلها پیش از آنکه رمزنگاری شوند با استفاده از Base64 کدگذاری میشود.
بدافزار پس از رمزنگاری فایل پسوند «.lockedfile» را به فایلها اضافه میکند. برای مثال فایل picyire.jpg به picture.jpg.lockedfile تبدیل میشود. فایل اصلی نیز با پیام باجخواهی پر میشود.
Cisco قویاً توصیه میکند قربانیان از پرداخت هزینه به مهاجمان خودداری کنند چراکه این امر بهندرت موجب بازیابی فایلهای رمز شده میشود. در عوض قربانیان این باجافزار درصورتیکه قادر به بازیابی فایل رمزنگاری نیستند میبایست از نسخه پشتیبان فایلها را بازگردانند.
همواره از فایلهای مهم خود نسخه پشتیبان بر روی ماشینی دیگر تهیه فرمایید.
ابزار رمزگشایی Cisco را میتوانید از اینجا دانلود کنید.
مطالب مرتبط:
کلید رمزگشایی باجافزار FileLocker منتشر شد
باجافزار WannaCry همچنان در هزاران سیستم در کمین است
افزایش فعالیت باج افزار SamSam در سال ۲۰۱۸ باهدف قرار دادن سازمانها
منبع: Cisco Talos
