خبر خوش برای قربانیان باج‌افزار Wallet

شبکه گستر

8 سال پیش

به گزارش شرکت مهندسی شبکه گستر، شب گذشته، کاربری با شناسه lightsentinelone کلیدهای رمزگشایی باج‌افزار Wallet را در تالار گفتگوی Dharma Ransomware Support Topic سایت اینترنتی Bleeping Computer در قالب لینکی به یک فایل سرآیند زبان برنامه‌نویسی C به اشتراک گذاشت.

لینک مذکور به فایلی اشاره می‌کند که حاوی 198 کلید رمزگشایی است و صحت آنها به تایید کارشناسان امنیتی رسیده است. صاحبان باج‌افزار Wallet از این کلیدها در رمزنگاری فایل‌های قربانیان خود استفاده کرده‌اند.

Wallet یکی از گسترده‌ترین باج‌افزارهای شش ماه اخیر بوده که در ایران نیز قربانیان فراوانی داشته است.

یکی از روش‌های خاص – و البته نه منحصربه‌فرد – مورد استفاده صاحبان Wallet جهت انتشار این باج‌افزار رخنه نمودن به دستگاه‌ها از طریق پودمان RDP بوده است. در اسفند ماه 95 مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر)، اعلام کرد که گزارش‌های متعددی از حمله باج‌افزارها از طریق پودمان RDP به سرورهایی با سیستم عامل Windows در کشور به این مرکز واصل شده است.

این نخستین بار نیست که کلیدهای رمزگشایی این باج‌افزار بر روی اینترنت منتشر می‌شود.

در آذر ماه 95، کاربری با شناسه crss7777 کلیدهای رمزگشایی باج‌افزار CrySis – یکی از باج‌افزارهای مبتنی بر Wallet – را در تالار گفتگوی CrySiS Support Topic سایت Bleeping Computer به اشتراک گذاشت. در اسفند ماه 95 نیز در اقدامی مشابه کاربری با شناسه gektar کلیدهای رمزگشایی باج‌افزار Dharma – یکی دیگر از باج‌افزارهای مبتنی بر Wallet – را در تالار گفتگوی Dharma Ransomware Support Topic همان سایت اینترنتی منتشر کرد.

اطلاعاتی در خصوص هویت واقعی crss7777 و gektar در دست نیست.

شایان ذکر است انتشار این کلیدها در زمانی صورت می‌گرفت که صاحبان این باج‌افزار با استفاده از نسخه های جدیدتر Wallet، کاربران و سازمان‌ها را هدف قرار می‌دادند.

در نمونه اخیر نیز نسخه‌های جدیدتر باج‌افزار Wallet که در آن پسوند فایل‌ها به onion تغییر داده می‌شود از کلیدهایی متفاوت برای رمزگذاری فایل‌های قربانیان خود بهره می‌گیرند. به نظر می‌رسد که عرضه کلیدهای رمزگشایی نسخه‌های قدیمی این باج‌افزار به یکی از سیاست‌های صاحبان Wallet تبدیل شده است.

قربانیان این باج‌افزار می‌توانند با استفاده از ابزاری که شرکت Avast با بهره‌گیری از کیلدهای فاش شده ساخته فایل‌های رمز شده خود را رمزگشایی کنند. این ابزار در اینجا قابل دریافت است. عرضه این ابزار، یکبار دیگر لزوم نگهداری فایل‌های رمز شده را با امید ارائه راهکاری برای رمزگشایی آنها در آینده نشان می‌دهد.

گزارش بررسی و تحلیل باج افزار Wallet در اینجا قابل دریافت و مطالعه است.

توضیح اینکه در نمونه‌های قابل رمزگشایی توسط این کلیدها، نام و پسوند فایل‌های رمزگذاری شده در قالب filename].[email].wallet] تغییر داده شده است. ایمیل‌های استفاده شده در نامگذاری فایل‌های رمز شده توسط این باج‌افزار به‌شرح زیر است:

age_empires@aol.com

aligi@zakazaka.group

amagnus@india.com

amanda_sofost@india.com

braker@plague.life

breakdown@india.com

crann@india.com

crann@stopper.me

crannbest@foxmail.com

cryalex@india.com

Cryptime@india.com

crysis@indya.life

danger_rush@aol.com

dderek416@gmail.com

dderek@india.com

ded_pool@aol.com

denied@india.com

destroed_total@aol.com

diablo_diablo2@aol.com

donald_dak@aol.com

dropped@india.com

enterprise_lost@aol.com

fedor2@aol.com

fidel_romposo@aol.com

fire.show@aol.com

first_wolf@aol.com

flashprize@india.com

fly_goods@aol.com

gotham_mouse@aol.com

grand_car@aol.com

gutentag@india.com

HelpRobert@gmx.com

ice_snow@aol.com

info@kraken.cc

injury@india.com

interlock@india.com

joker_lucker@aol.com

kuprin@india.com

last_centurion@aol.com

lavandos@dr.com

legionfromheaven@india.com

m.reptile@aol.com

m.subzero@aol.com

makedonskiy@india.com

mandanos@foxmail.com

matacas@foxmail.com

mission_inposible@aol.com

mission_inpossible@aol.com

mk.baraka@aol.com

mk.cyrax@aol.com

mk.goro@aol.com

mk.jax@aol.com

mk.johnny@aol.com

mk.kabal@aol.com

mk.kitana@aol.com

mk.liukang@aol.com

mk.noobsaibot@aol.com

mk.raiden@aol.com

mk.rain@aol.com

mk.scorpion@aol.com

mk.sektor@aol.com

mk.sharik@aol.com

mk.smoke@aol.com

mk.sonyablade@aol.com

mk.stryker@aol.com

mkgoro@india.com

mkjohnny@india.com

MKKitana@india.com

Mkliukang@india.com

mknoobsaibot@india.com

mkscorpion@india.com

MKSmoke@india.com

mksubzero@india.com

moneymaker2@india.com

nicecrypt@india.com

nomascus@india.com

nort_dog@aol.com

nort_folk@aol.com

obamausa7@aol.com

p_pant@aol.com

reserve-mk.kabal@india.com

sammer_winter@aol.com

shamudin@india.com

sman@india.com

smartsupport@india.com

spacelocker@post.com

space_rangers@aol.com

ssama@india.com

stopper@india.com

supermagnet@india.com

support_files@india.com

tanksfast@aol.com

terrabyte8@india.com

total_zero@aol.com

versus@india.com

walmanager@qq.com

warlokold@aol.com

war_lost@aol.com

webmafia@asia.com

webmafia@india.com

xmen_xmen@aol.com

zaloha@india.com