بهتازگی باجافزار جدیدی شناسایی شده که به نظر میرسد هدف آن بجای رمزنگاری فایل ها و درخواست باج ، خراب کردن و از بین بردن فایلهای قربانیان است . این باجافزار RedEye نام داشته و به نظر میرسد توسط توسعهدهندگان باجافزارها Annabelle و JigSaw توسعه داده شده است .
این باجافزار جدید مانند دو باجافزار دیگر که توسط یک گروه توسعه داده شدهاند، حتی اگر به هیچ سود و منفعت مالی هم نرسند، در تلاش هستند تا فایلهای قربانیان را از بین ببرند.
اندازهی این باجافزار بسیار زیاد بوده و ۳۵ مگابایت گزارش شده است.
بزرگی این بدافزار به دلیل وجود چندین فایل رسانهای است که در باینری آن تعبیه شده است . در بین این فایلها، ۳ فایل با پسوند. wav وجود دارد که هنگام اجرا شدن بدافزار، این فایلها پخش شده و قصد دارد قربانی را بترساند. نویسندهی بدافزار همچنین از روش های مبهمسازی ConfuserEx و فشردهسازی و دیگر شگردها استفاده کرده تا از فایل باینری باجافزار محافظت کند. یک باینری دیگر نیز در باجافزار تعبیه شده که قابلیت جایگزینی رکورد بوت اصلی (MBR) در سیستم را دارد .
باجافزار زمانیکه ماشین قربانی را آلوده کرد، برای سخت کردن فرآیند حذف بدافزار، کارهایی را انجام میدهد ، به طور مثال Task Manager را غیرفعال کرده و درایوهای سیستم را مخفی میکند . باجافزار در ادامه یک پیغام باجخواهی به قربانی نشان داده و به او اطلاع میدهد که فایلها با الگوریتم AES256 رمزنگاری شده و برای بازیابی آنها باید به یک وبسایت مبتنی بر .onion مراجعه کرده و به آدرس کیفپول مشخصی، ۰٫۱ است.
قربانی برای پرداخت این باج فقط ۴ روز مهلت دارد و مهاجم اعلام کرده اگر این مهلت بگذرد، میتواند بهطور کلی کامپیوتر قربانی را از کار بیندازد و تخریب کند . اگر قربانی از بین گزینهها گزینهی آخر را انتخاب کند، یک گیف نمایش داده شده و دکمهی « انجام بده » را مشاهده میکند که با کلیک بر روی این دکمه، باجافزار سیستم را مجددا راهاندازی کرده و MRB جایگزین خواهد شد .
در ادامه وقتی قربانی سیستم را روشن میکند، به او خوشامد گفته شده و اطلاع داده میشود که مهاجمان کار کامپیوتر را تمام کردهاند .محققان همچنین متوجه شدند که نویسندهی باجافزار برای رمزنگاری از AES256 استفاده نکرده و فایلها را بازنویسی کرده و یا با ۰ جایگزین کرده است .
باجافزار به انتهای فایلهای رمزنگاریشده پسوند .RedEye را اضافه میکند .
