روشهای دستدرازی این باجافزار نسبت به نسخه پیشین آن تغییرات قابل توجهی نداشته است.
در نسخه جدید فایل مربوط به اطلاعیه باجگیری به HELP_INSTRUCTION.TXT_ تغییر نام یافته است. در فایل مذکور از قربانی خواسته میشود که برای دریافت دستورالعمل پرداخت باج با یکی از نشانیهای زیر تماس حاصل کند:
- empty01@techmail.info
- empty02@yahooweb.co
- empty003@protonmail.com
همچنین این نسخه مجهز به 11 کلید رمزگذاری عمومی مبتنی بر الگوریتم RSA-1024 است که از آنها برای رمزنگاری کلید AES ایجاد شده در فرآیند رمز کردن فایلهای کاربر استفاده شده است.
بنابراین این باجافزار قادر است حتی بدون اتصال به اینترنت و به صورت برون خط نیز فایلهای کاربری را رمز کند.
نسخه مذکور با اجرای فرامین زیر سرویس Windows Security Center Service،و WinDefend،و Windows Update،و Background Intelligent Transfer Service،و Microsoft Error Reporting و Windows Error Reporting را متوقف میکند:
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
این باجافزار بهمنظور غیرفعال کردن امکان بازگردانی از طریق بخش Windows Startup و حذف نسخههای Windows Shadow Volume از فرامین زیر استفاده میکند:
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
ضدویروسهای McAfee و Bitdefender نمونه بررسی شده در این خبر را به ترتیب با نامهای RDN/Ransom و Trojan.GenericKD.5878918 شناسایی میکند.
موسسه نرم افزاری ترسیم رایانه شرق