نماد سایت اتاق خبر شبکه گستر

دریافت رایگان کلید رمزگشایی باج‌افزار؛ البته از راهی غیراخلاقی

به گزارش شرکت مهندسی شبکه گستر، محققان باج‌افزاری را شناسایی کرده‌اند که از روشی جدید و در عین حال شیطانی برای دریافت باج استفاده می‌کند.

این باج‌افزار توسط گروه MalwareHunterTeam در یکی از بازارهای زیرزمینی تبهکاران سایبری کشف شده و توسط محققان این شرکت و سایت Bleeping Computer مورد بررسی قرار گرفته است.

باج‌افزار یا Ransomware گونه‌ای بدافزار است که از راه‌های مختلف دسترسی به فایل‌های کاربر را محدود ساخته و برای دسترسی مجدد، از او درخواست باج می‌کند.

در سال‌های اخیر آن دسته از باج‌افزارهایی که از طریق رمزنگاری اقدام به محدودسازی دسترسی کاربر به فایل‌ها می‌کنند موفقیت‌های بی‌مثالی را نصیب گردانندگان تبهکار خود کرده‌اند و بر اساس آمار، تعداد این باج‌افزارها بشدت در حال افزایش است. در این نوع محدودسازی، هدف از رمز کردن، تغییر ساختار فایل است؛ به‌نحوی که تنها با داشتن کلید رمزگشایی (Decryption Key) بتوان به محتوای فایل دسترسی پیدا کرد. پیچیدگی و قدرت این کلیدها بر اساس تعداد بیت بکاررفته در ساخت کلید است. هر چه تعداد این بیت‌ها بیشتر باشد شانس یافتن آن هم دشوارتر و در تعداد بیت بالا عملاً غیرممکن می‌شود.

باج‌افزار جدید با نام Popcorn Time، برای ارائه کلید رمزگشایی دو راه را پیش روی قربانی خود قرار می‌دهد. یکی پرداخت باج و دیگری آلوده کردن دو کامپیوتر دیگر از طریق لینکی منحصربه‌فرد برای قربانی؛ در صورتی که دو کاربر دیگر اقدام به پرداخت باج کنند، قربانی نخست نیز کلید رمزگشایی را به رایگان دریافت خواهد کرد.

Popcorn Time فایل‌های با یکی از پسوندهای زیر را از طریق الگوریتم AES-256 رمزنگاری کرده و به آنها پسوند filock الصاق می‌کند.

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

همچنین این باج‌افزار تمامی فایل‌های موجود در پوشه‌های زیر را – صرف‌نظر از پسوند آنها – رمزنگاری می‌کند:

بررسی کدهای این باج‌افزار نشان می‌دهد که در صورتی که کلید رمزگشایی چهار بار به‌صورت نادرست وارد شود فایل‌های رمز شده کاربر از روی دستگاه حذف خواهند شد.

قربانی یک هفته فرصت دارد که باج را پرداخت کند یا قربانیان جدیدی را بیابد که حداقل دو نفر از آنها مبلغ باج را بپردازند. در توضیحات باج‌افزار این دو راه با عبارات “سریع و آسان” و “کثیف” توصیف شده‌اند.

ما متأسفیم که کامپیوترتان و فایل‌های بر روی آن رمزنگاری شده‌اند، اما صبر کنید، نگران نباشید. راهی برای بازگرداندان تمامی فایل‌هایتان وجود دارد… لینک زیر را به افراد دیگر ارسال کنید، اگر دو دستگاه یا بیشتر آلوده شده و کاربران آنها مبلغ باج را پرداخت کنند، ما فایل‌های شما را به رایگان رمزگشایی می‌کنیم.

به گزارش شرکت مهندسی شبکه گستر، نویسندگان این باج‌افزار خود را گروهی از دانشجویان کامپیوتر اهل سوریه معرفی کرده‌اند. این گروه ادعا می‌کنند باج دریافت شده صرف تهیه غذا، دارو و پناهگاه برای سوری‌های آواره از جنگ خواهد شد. ضمن اینکه از مجبور کردن قربانیان خود به پرداخت باج بسیار ابراز تأسف کرده‌اند.

مبلغ اخاذی شده توسط این باج‌افزار 1 بیت‌کوین – معادل حدوداً 800 دلار – است.

خبر خوش اینکه این باج‌افزار فعلاً در مرحله برنامه‌نویسی و توسعه قرار دارد و بخش‌هایی از آن هنوز تکمیل نشده‌اند.

نمونه بررسی شده باج‌افزار Popcorn Time توسط ضدویروس‌های McAfee،وBitdefender و ESET با نام‌های زیر شناسایی می‌شوند:

McAfee:
   – Ransomware-FTD!A0FDAF733314

Bitdefender:
   – Trojan.GenericKD.3835438

ESET:
   – MSIL/Filecoder.PopcornTime.A

به‌نظر می‌رسد نویسندگان Popcorn Time دریافت پول از طریق اخاذی و صرف آن برای کمک به نیازمندان را کاری قابل دفاع می‌دانند. نظر شما چیست؟ 

خروج از نسخه موبایل