باج افزار KeyPass نوع جدیدی از باج افزار است که تا به حال بیش از ۲۰ کشور را آلوده ساخته است . ایران از جمله کشور هایی است که آلوده به این باج افزار می باشد .
اطلاعات ساخت :
این باج افزار با زبان ++C و در محیط MS Visual Studio کامپایل شده است . در این باج افزار از کتابخانه های Boost ، MFC و ++Crypto استفاده شده است .
نحوه عملکرد :
در زمان اجرای این باج افزار در سیستم قربانی ابتدا خود را در مسیر %LocalAppData% کرده و از آنجا باز می شود سپس خود را از مسیر اصلی یا همان مسیر قبلی پاک می کند .
این باج افزار در سیستم هر کاربر یک ID می سازد که آن سیستم با آن آیدی قابل شناسایی باشد . این باج افزار چندین مرتبه در سیستم به صورت هم زمان اجرا می شود .
عمل آلوده سازی در همه درایوها ، فایل های اشتراکی شبکه است و به دنبال تمامی فایل ها می گردد تا بتواند آنها را آلوده کند . پسوند همه فایلهای آلوده شده KEYPASS است . به ازای هر پوشه ای که محتوای آن آلوده می شود ، یک فایل متنی با نام !!!KEYPASS_DECRYPTION_INFO!!!.txt با محتوای زیر ساخته می شود .
این باج افزار از الگوریتم AES-256 جهت رمزنگاری استفاده می کند . لیست مسیر هایی که KeyPass به صورت پیش فرض آنها را آلوده می کند به شرح زیر است :
