Troyan şəkillərin köməyi ilə antiviruslardan gizlənməyi öyrənib

“SyncCrypt” adlı yeni şifrləyici troyan kompüterləri yoluxdurmaq üçün qrafik fayllardan istifadə edir; zərərli proqram təminatının komponentləri şifrlənmiş formada PNG formatlı faylların daxilində gizlədilib ki, bu da əksər antiviruslardan yayınmağa imkan verir.

“ICTnews” Elektron Xəbər Xidməti “safe.cnews.ru” saytına istinadən yazır ki, “SyncCrypt” troyanı “WSF” formatında bərkidilmiş fayllardan ibarət məhkəmə təlimatları kimi qələmə verilən məktub şəklində yayılır. İstifadəçi faylı açarkən ona qurulmuş “JavaScript” bir neçə müxtəlif ünvandan qrafik fayllar yükləyir və daha sonra zərərverici kod işə düşür.

Bu proses skriptsiz işləmir, çünki bu şəkillərə istinad üzrə birbaşa daxil olduqda  zərərverici komponentlər şifrlənmiş formada qalır.

Troyan 3 komponentdən (sync.exe, readme.html və readme.png) ibarətdir.

“WSF” formatlı fayl “Windows” sistemində “sync.exe” faylını işə salır. Bu fayl müəyyən genişlənməli faylları tapmaq üçün kompüteri skan edir və onları AES alqoritmi üzrə şifrləməyə başlayır. Şifrlənmiş faylların genişlənməsi “.kk” şəklindədir.

Populyar proqramlar tərəfindən istifadə edilən 350-dən çox fayl tipi (asp, bat, bmp, cdr, css, doc, docx, gif, html, eml, jpeg, jpg, jar, java, ods, odt, pdf, ppt, pptx, sql, sqlite, xls, xlsx, png, rar, tar, zip və sairə) şifrlənir.

Hakerlər faylları deşifr etmək üçün bitkoinlərlə 430 dollar tələb edirlər. Ödəniş üçün ayrılan 48 saat bitdikdən sonra açar məhv edilir.

Emil Hüseynov

---