این باج افزار در محیط سیستم عاملهای ویندوزی عمل میکند؛ تا این لحظه تقریبا فقط نیمی از آنتی ویروسهای معتبر، قادر به شناسایی این بدافزار هستند.
این باجافزار با قفل کردن دسترسی به سامانه های قربانی و رمزنمودن فایلهای سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیرقابل پیگیری تلگرام (@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده میکند.
در گزارشهای واصله، روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکند که در حقیقت حاوی بدافزار است البته با توجه به ماهیت حمله، استفاده از دیگر روشهای مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت نشده نیز محتمل است.
روش انتقال باج که این باج افزار از آن استفاده میکند، Web money است و سازنده باجافزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر گرفته است همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب سایتهای فارسی ارایه کننده این نوع از ارز الکترونیکی توسط باج افزار معرفی میشوند.
تحلیلهای اولیه نشان میدهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگتر باشد چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایلها، گاهی باجافزار موفق به رمزگذاری فایل های قربانی نمیشود و از آن مهمتر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریستارت کردن سیستم نمیگردد؛ با این وجود به نظر نمیرسد که تاکنون از محل این باجافزار خسارت قابل توجه ای ایجاد شده باشد.
راهکارهای پیشگیری:
۱- از دریافت فایلهای اجرایی در شبکههای اجتماعی و اجرای فایلهای ناشناخته و مشکوک پرهیز شود.
۲- از دانلود و اجرای فایلهای پیوست ایمیلهای ناشناس و هرزنامهها خودداری شود.
۳- دقت ویژه در به روزرسانی دائم سیستم عامل و آنتی ویروس
۴- دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی
۵- عدم استفاده از مجوز دسترسی Administrator بر روی سیستمهای کاربران سازمان