بر اساس گزارشات، یک باج افزار جدید به نام سایرک (Syrk) فایلها را رمزگذاری کرده و اگر کاربران مبلغ مورد نظر را پرداخت نکنند، فایل های روی هارد را پاک می کند! این بدافزار بر پایه برنامه متن باز Hidden-Cry به وجود آمده است. گفتنی است که Hidden-Cry یک برنامه رمزگذاری است که در ماه دسامبر سال گذشته منتشر شد و مبنای بسیاری از بدافزارها در طی سال گذشته نیز بوده است.
گفتنی است که حدود ۲۵۰ میلیون کاربر بازی «فورتنایت» هدف اصلی این بدافزار هستند.
کریس مورالس (Chris Morales)، رئیس شرکت امنیتی Vectra در این باره عنوان کرد که استفاده از حدود ۲۵۰ میلیون کاربر بازی «فورتنایت» که هدف اصلی این بدافزار هستند، از همان ابتدا غیرقابل اجتناب بود. مهندسی اجتماعی از طریق بازی های ویدئویی آنلاین مدتی است که ادامه دارد. مخاطبان زیاد بازی های رایانه ای و شهرت آنها برای طی کردن یک راه میانبر، باعث شده تا به هدف مناسبی برای بدافزارها تبدیل شوند. زیرا این بدافزارها توسط هیچ فروشگاه نرم افزاریای تأیید نمی شود و کنترل های امنیتی عادی را دور می زنند. این امر باعث می شود که این بدافزارها در قالب یک برنامه هک بازی ظاهر می شوند، و اجرای بدافزار و رمزگذاری اطلاعات در قالب ابزارهای هک بازی های رایانه ای بسیار راحت است.
سایرک به شکل یک نرم افزار تقلب در بازی، کاربران فورتنایت را هدف قرار می دهد. بدافزار سایرک با عنوان SydneyFortniteHacks.exe ظاهر می شود و هنگامی که برنامه اجرا شد، اقدام به رمزگذاری داده های روی هارد و درایوهای USB می کند. اگر باج افزار، ارزهای دیجیتال درخواستی خود را دریافت نکند، برنامه شروع به حذف پوشه های مهم کاربر می کند. پوشه اسناد (Documents) آخرین مرحله از حذف فایل هاست.
گام بعدی ویروس ایجاد یک روند پاک سازی و حذف پرونده های رمزگذاری شده در مدت زمان مشخص است. فایلها هر دو ساعت به ترتیب مقابل پاک خواهند داشت: %userprofile%Pictures; %userprofile%Desktop; and %userprofile%Documents
خوشبختانه این بدافزار مبتنی بر الگوی حمله ای شناخته شده است و نرم افزارش نیز به راحتی قابل دور زدن است. قربانیان می توانند با جستجوی چند فایل متنی در درایوهای خود، کامپیوترهای خود را به راحتی قفل کنند. لازم به ذکر است که این فایل ها حاوی گذرواژه هایی هستند که برای از کار انداختن باج افزار پیش از آنکه پرونده های شما را حذف کند، به کار می روند. رمزعبور آزادسازی فایل ها در مسیر زیر قابل دسترسی است:
C:UsersDefaultAppDataLocalMicrosoft-pw+.txt
‘passwordonly’
C:UsersDefaultAppDataLocalMicrosoft+dp-.txt
‘pass : password’