به گزارش شرکت مهندسی شبکه گستر، محققان باجافزاری را شناسایی کردهاند که از روشی جدید و در عین حال شیطانی برای دریافت باج استفاده میکند.
این باجافزار توسط گروه MalwareHunterTeam در یکی از بازارهای زیرزمینی تبهکاران سایبری کشف شده و توسط محققان این شرکت و سایت Bleeping Computer مورد بررسی قرار گرفته است.
باجافزار یا Ransomware گونهای بدافزار است که از راههای مختلف دسترسی به فایلهای کاربر را محدود ساخته و برای دسترسی مجدد، از او درخواست باج میکند.
در سالهای اخیر آن دسته از باجافزارهایی که از طریق رمزنگاری اقدام به محدودسازی دسترسی کاربر به فایلها میکنند موفقیتهای بیمثالی را نصیب گردانندگان تبهکار خود کردهاند و بر اساس آمار، تعداد این باجافزارها بشدت در حال افزایش است. در این نوع محدودسازی، هدف از رمز کردن، تغییر ساختار فایل است؛ بهنحوی که تنها با داشتن کلید رمزگشایی (Decryption Key) بتوان به محتوای فایل دسترسی پیدا کرد. پیچیدگی و قدرت این کلیدها بر اساس تعداد بیت بکاررفته در ساخت کلید است. هر چه تعداد این بیتها بیشتر باشد شانس یافتن آن هم دشوارتر و در تعداد بیت بالا عملاً غیرممکن میشود.
باجافزار جدید با نام Popcorn Time، برای ارائه کلید رمزگشایی دو راه را پیش روی قربانی خود قرار میدهد. یکی پرداخت باج و دیگری آلوده کردن دو کامپیوتر دیگر از طریق لینکی منحصربهفرد برای قربانی؛ در صورتی که دو کاربر دیگر اقدام به پرداخت باج کنند، قربانی نخست نیز کلید رمزگشایی را به رایگان دریافت خواهد کرد.
Popcorn Time فایلهای با یکی از پسوندهای زیر را از طریق الگوریتم AES-256 رمزنگاری کرده و به آنها پسوند filock الصاق میکند.
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp
همچنین این باجافزار تمامی فایلهای موجود در پوشههای زیر را – صرفنظر از پسوند آنها – رمزنگاری میکند:
- My Documents
- My Pictures
- My Music
- Desktop
بررسی کدهای این باجافزار نشان میدهد که در صورتی که کلید رمزگشایی چهار بار بهصورت نادرست وارد شود فایلهای رمز شده کاربر از روی دستگاه حذف خواهند شد.
قربانی یک هفته فرصت دارد که باج را پرداخت کند یا قربانیان جدیدی را بیابد که حداقل دو نفر از آنها مبلغ باج را بپردازند. در توضیحات باجافزار این دو راه با عبارات “سریع و آسان” و “کثیف” توصیف شدهاند.
ما متأسفیم که کامپیوترتان و فایلهای بر روی آن رمزنگاری شدهاند، اما صبر کنید، نگران نباشید. راهی برای بازگرداندان تمامی فایلهایتان وجود دارد… لینک زیر را به افراد دیگر ارسال کنید، اگر دو دستگاه یا بیشتر آلوده شده و کاربران آنها مبلغ باج را پرداخت کنند، ما فایلهای شما را به رایگان رمزگشایی میکنیم.
به گزارش شرکت مهندسی شبکه گستر، نویسندگان این باجافزار خود را گروهی از دانشجویان کامپیوتر اهل سوریه معرفی کردهاند. این گروه ادعا میکنند باج دریافت شده صرف تهیه غذا، دارو و پناهگاه برای سوریهای آواره از جنگ خواهد شد. ضمن اینکه از مجبور کردن قربانیان خود به پرداخت باج بسیار ابراز تأسف کردهاند.
مبلغ اخاذی شده توسط این باجافزار 1 بیتکوین – معادل حدوداً 800 دلار – است.
خبر خوش اینکه این باجافزار فعلاً در مرحله برنامهنویسی و توسعه قرار دارد و بخشهایی از آن هنوز تکمیل نشدهاند.
نمونه بررسی شده باجافزار Popcorn Time توسط ضدویروسهای McAfee،وBitdefender و ESET با نامهای زیر شناسایی میشوند:
McAfee:
– Ransomware-FTD!A0FDAF733314
Bitdefender:
– Trojan.GenericKD.3835438
ESET:
– MSIL/Filecoder.PopcornTime.A
بهنظر میرسد نویسندگان Popcorn Time دریافت پول از طریق اخاذی و صرف آن برای کمک به نیازمندان را کاری قابل دفاع میدانند. نظر شما چیست؟