به نقل از وبسایت BleepingComputer، این نمونه از طریق فایلهای اجرایی که با یک امضای دیجیتال امضا شدهاند، توزیع میشود. اینکار باعث میشود تا بدافزار قانونی به نظر برسد و در نتیجه بتواند برنامههای امنیتی را دور بزند. در تحلیلی که توسط یک پژوهشگر امنیتی انجام شده است، این باجافزار چندین فرایند پردازشی و سرویس ویندوز را متوقف میکند تا نرمافزارهای ضدویروس را غیرفعال کند و تمامی فایلها را ببندد تا برای رمزگذاری فایلها آماده شود. مثالهایی از فرایندهای پردازشی که متوقف میشوند مواردی از قبیل Microsoft Exchange، Microsoft SQL Server، MySQL، BackupExec و غیره هستند.
این نمونه یک فایل batch با نام clearnetworkdns_۱۱-۲۲-۳۳.bat ایجاد میکند که پس از اجرای باجافزار اجرا میشود. این فایل سرویس تعمیر خودکار ویندوز را غیرفعال میکند و فایلهای shadow volume را حذف و سپس اندازه آنها را تغییر میدهد. در ادامه فایلهای قربانی رمز میشوند و پسوند Clop. یا CIop. به آنها اضافه میشود. فایل باجخواهی با نام CIopReadMe.txt نیز ایجاد میشود که جزئیات پرداخت باج در آن درج شده است. ایمیلهای unlock@eqaltech[.]su، unlock@royalmail[.]su و kensgilbomet@protonmail[.]com برای ارتباط با مهاجمین در فایل باجخواهی درج شدهاند.
متاسفانه در حال حاضر راهی برای رمزگشایی فایلها بصورت رایگان وجود ندارد. توصیه میشود با پیروی از دستورالعملهای امنیتی از نفوذ چنین بدافزارهای جلوگیری شود.
انتهای پیام/