چندین نسخهی سفارشی از باجافزار کریپتووال در بستههای مختلف با پشتیبانی از ویژگیهای گوناگون عرضه شدهاند. اما یک نسخهی جدید از باجافزار کریپتو به نام PadCrypt با قابلیتهای گفتوگوی زنده عرضه شده است که قربانیان با استفاده از آن میتوانند با مهاجمان در مورد پرداخت باج و اطلاعات دیگر صحبت کنند.
باجافزار PadCrypt که به وسیلهی محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانوادههای باجافزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناختهشدهی این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co، و cloudnet[.]onlineاز کار افتادهاند و بنابراین این باجافزار دیگر تهدیدی عمده محسوب نمیشود.
اکنون یک باجافزار دیگر: PadCrypt؛ که به نظر میرسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».
گفتوگوی زنده، که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصربهفرد این باجافزار PadCrypt نیست. این بدافزار با یک حذفکنندهی خودکار نیز وارد عمل میشود، با این حال این ابزار پروندههایی را که به وسیلهی این بدافزار رمزگذاری شدهاند، رمزگشایی نمیکند.
Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق میکند میگوید: «قابلیتی نظیر گفتوگوی زنده میتواند به صورت بالقوه میزان پرداختها را بالا ببرد، چرا که قربانی به این شکل «پشتیبانی» دریافت میکند و در فرآیند پیچیدهی انجام پرداخت راهنمایی میشود. ما اکنون یک باجافزار را دیدهایم که به شما اجازه میدهد تا یک پروندهی اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما میبینیم یک باجافزار یک حذفکنندهی خودکار را به همراه دارد. به محض اینکه این حذفکنندهی خودکار اجرا شود، همهی یادداشتهای این بدافزار و پروندههایی که به آلودگی Padcrypt به نوعی مربوط می شوند، از بین میبرد. اما متأسفانه همهی پروندهها به صورت رمزگذاری شده در جای خود باقی میمانند.»
PadCrypt از طریق هرزنامه گسترش مییابد. رایانامهی حاوی آن شامل یک پیوند به یک پروندهی zip است و در بردارندهی پروندهای است که تلاش میکند خود را به عنوان یک پروندهی پیدیاف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی میکند که این پرونده همان چیزی نیست که خود را معرفی میکند. اگر این پرونده اجرا شود، بدافزار به همراه یک ابزار گفتوگوی زنده و قابلیت حذف خودکار نصب میشود.
PadCrypt به بررسی درایورهای سامانه برای انطباق آنها با فهرست پسوندهای تعریفشده در خود میکند، که معمولاً پسوندهای معمول نظیر .doc، jpg، gifو … هستند. این پروندهها با استفاده از AES رمزنگاری میشوند و پروندههای رمزگذاریشده با پسوند .enc قرار میگیرند. Bleeping Computer میگوید، همچنین این باجافزار نامهای پروندههای رمزگذاریشده را در یک پروندهی متنی text ذخیره میکند. PadCrypt علاوه بر این کار نسخههای موقت این پروندهها در درایوهای سامانههای دیگر آسیبدیده را پاک میکند. در نهایت این بدافزار یک پروندهی متنی Readme با دستورالعمل نحوهی پرداخت باج ایجاد میکند.
Abrams میگوید: «صفحهی این باجافزار دستورالعملهایی را نشان میدهد که چگونه میتوان ۳۵۰ دلار یا ۸ بیتکوین را از طریق PaySafeCard یا Ukash پرداخت نمود. این دستورالعمل علاوه بر این اظهار میدارد که شما ۹۶ ساعت فرصت دارید تا پرداخت را انجام دهید و یا کلید رمز از بین خواهد رفت. در این لحظه، هنوز مشخص نیست که راهی برای رمزگشایی این پروندهها به صورت رایگان وجود داشته باشد.»
باجافزارها همچنان به عنوان تهدیدی آزاردهنده برای تجارت مطرح هستند. آخرین حملهی سطح بالا از این دست در روز جمعه افشاء شد، که در آن مرکز پزشکی Presbyterian هالیوود اعلام کرد که سامانههای آن به وسیلهی یک باجافزار مورد حمله قرار گرفته و پروندههای بیماران غیرقابل دسترس شدهاند. NBC در لسآنجلس از مقامات بیمارستان نقل میکند که فعالیتهای روزانه آنها تحت تأثیر قرار گرفته است و برخی از بیماران برای مداوا به بیمارستانهای دیگر فرستاده شدهاند، زیرا برخی از سامانههای حیاتی غیرقابل دسترسی بودهاند. NBC میگوید که در این بین مهاجمان درخواست بیش از ۳ میلیون دلار را به عنوان باج کردهاند.
هفتهی گذشته در کنفرانس تحلیل امنیت آزمایشگاه کسپرسکی، Sergey Lozhkin یک محقق امنیتی شرح داد که چگونه او، با اجازهی مقامات بیمارستان، قادر بوده است تا به یک شبکهی فنآوری بیمارستانی در مسکو از طریق تنظیمات ضعیف مودم وایفای آن دسترسی پیدا کند. به این شکل او توانسته است که به رابط مدیریتی نا امنی دسترسی پیدا کند، که با استفاده از آن میتواند دستگاهها و سامانههای پزشکی را که به وسیلهی پزشکان برای تشخیص و درمان استفاده میشوند، در اختیار گیرد.