سیستم‌ عامل‌‌های ویندوز قربانیان باج‌افزار نوظهور

بر اساس تحقیقات انجام‌گرفته در رابطه با شناسایی رفتار این باج‌افزار، معماری رمزگذاری چند نرخی دارای شباهت‌هایی با کد نسخه ۳ باج‌افزار Conti بوده و زیربرنامه‌هایی (ماژول‌ها) که برای جست‌وجوی شبکه استفاده شده‌اند، یک رونوشت دقیق از این باج‌افزار است. باج‌افزار  BlueSky پس از رمزگذاری اسناد، عکس‌ها، پایگاه داده‌ها و سایر فایل‌های مهم قربانیان، در ازای رمزگشایی درخواست بیت‌کوین می‌کند. کارشناسان مرکز مدیریت راهبردی افتا می‌گویند باج افزار BlueSky چندین تکنیک مقابله با تجزیه‌وتحلیل را پیاده‌سازی می‌کند که به آن اجازه می‌دهد نام‌های عملکرد رابط‌های برنامه‌نویسی ویندوز‌(Windows API) را مبهم کند. رمزگذاری رشته، مبهم‌سازی API و مکانیسم‌های ضداشکال‌زدایی نمونه‌ای از این تکنیک‌ها است. علاوه بر این، BlueSky نام‌های رابط‌های برنامه‌نویسی (API) را با استفاده از شیوه‌ای خاص، رمزگذاری می‌کند و مانع از تجزیه‌وتحلیل بدافزار می‌شود. برخلاف سایر باج‌افزارها که معمولا حاوی لیستی از پسوندهای مجاز برای شناسایی فایل‌های واجد شرایط برای رمزگذاری هستند، BlueSky شامل لیستی از پسوندهای غیرمجاز است. باج‌افزار BlueSky از یک صف چند رشته‌ای برای رمزگذاری استفاده می‌کند؛ چندین رشته را شروع می‌کند؛ یک رشته مسوول رمزگذاری فایل و دیگری برای شمارش فایل‌ها در سیستم فایل محلی و اشتراک‌گذاری‌های شبکه برای اضافه شدن به صف خواهد بود. طبق اعلام مرکز مدیریت راهبردی افتا، نویسندگان باج‌افزار از تکنیک‌های پیشرفته و مدرن مانند رمزگذاری نمونه‌های مخرب یا تحویل و بارگیری باج‌افزار چند مرحله‌ای برای فرار از دفاع امنیتی استفاده می‌کنند.