http://padafand.gtc-portal.com/index.as ... sview=8360
باجافزار PadCrypt که به وسیلهی محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانوادههای باجافزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناختهشدهی این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co، و cloudnet[.]onlineاز کار افتادهاند و بنابراین این باجافزار دیگر تهدیدی عمده محسوب نمیشود.
اکنون یک باجافزار دیگر: PadCrypt؛ که به نظر میرسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».
گفتوگوی زنده، که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصربهفرد این باجافزار PadCrypt نیست. این بدافزار با یک حذفکنندهی خودکار نیز وارد عمل میشود، با این حال این ابزار پروندههایی را که به وسیلهی این بدافزار رمزگذاری شدهاند، رمزگشایی نمیکند.
Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق میکند میگوید: «قابلیتی نظیر گفتوگوی زنده میتواند به صورت بالقوه میزان پرداختها را بالا ببرد، چرا که قربانی به این شکل «پشتیبانی» دریافت میکند و در فرآیند پیچیدهی انجام پرداخت راهنمایی میشود. ما اکنون یک باجافزار را دیدهایم که به شما اجازه میدهد تا یک پروندهی اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما میبینیم یک باجافزار یک حذفکنندهی خودکار را به همراه دارد. به محض اینکه این حذفکنندهی خودکار اجرا شود، همهی یادداشتهای این بدافزار و پروندههایی که به آلودگی Padcrypt به نوعی مربوط می شوند، از بین میبرد. اما متأسفانه همهی پروندهها به صورت رمزگذاری شده در جای خود باقی میمانند.»
PadCrypt از طریق هرزنامه گسترش مییابد. رایانامهی حاوی آن شامل یک پیوند به یک پروندهی zip است و در بردارندهی پروندهای است که تلاش میکند خود را به عنوان یک پروندهی پیدیاف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی میکند که این پرونده همان چیزی نیست که خود را معرفی میکند. اگر این پرونده اجرا شود، بدافزار به همراه یک ابزار گفتوگوی زنده و قابلیت حذف خودکار نصب میشود.
PadCrypt به بررسی درایورهای سامانه برای انطباق آنها با فهرست پسوندهای تعریفشده در خود میکند، که معمولاً پسوندهای معمول نظیر .doc، jpg، gifو … هستند. این پروندهها با استفاده از AES رمزنگاری میشوند و پروندههای رمزگذاریشده با پسوند .enc قرار میگیرند. Bleeping Computer میگوید، همچنین این باجافزار نامهای پروندههای رمزگذاریشده را در یک پروندهی متنی text ذخیره میکند. PadCrypt علاوه بر این کار نسخههای موقت این پروندهها در درایوهای سامانههای دیگر آسیبدیده را پاک میکند. در نهایت این بدافزار یک پروندهی متنی Readme با دستورالعمل نحوهی پرداخت باج ایجاد میکند.