بهنظر میرسد حتی نویسندگان باجافزار هم علاقهای ندارند که از آنها بهعنوان کلاهبردار (Scammer) یاد شود!
به گزارش شرکت مهندسی شبکه گستر، عصر سهشنبه، 26 تیر ماه، نویسندگان باج افزار King Ouroboros با درج توضیحاتی در حساب توییتر چند محقق بدافزار، مراتب اعتراض خود را نسبت به کلاهبرداری خوانده شدن باجافزارشان و ادعای رمزگشایی نشدن فایلها حتی در صورت پرداخت مبلغ اخاذی شده اعلام کردند.
این افراد در ادامه بهنحوی از باجافزار خود دفاع کردهاند که گویی کاری خیر و از سر لطف برای قربانیانش انجام میدهند!
از همان ابتدا، ما به بسیاری از مردم برای حل مشکلاتشان در حوزه بازگردانی فایلها[ی رمز شده توسط باجافزار King Ouroboros] کمک و یاری رساندهایم. ما حتی به آنهایی که قادر به اثبات وجود مشکلات مالی خود بودهاند تخفیف نیز دادهایم.
متن کامل درج شده توسط نویسندگان King Ouroboros بهشرح زیر است:
We’d like to express ourselves concerning the “scam” accusations being made against us by multiple sites such as pcrisk.com. First of all, you should know all of these sites use templates when posting a new ransomware threat, therefore those “scam” accusations are already there, without them even trying to contact us to prove what they’re saying. From the beginning, we’ve already helped loads of people solving any of their issues regarding the decryption of their files, as well as spending time to code a standalone decryption tool for those who have deleted the original one. We do also provide discounts to those who are able to prove any kind of financial problems they may have. This is all we’re going to say, to believe it or not is up to you, prove us wrong and we’ll shut down the entire operation. Have a great day, King Ouroboros.
شاید با همین دلایل و توجیهات است که بسیاری از نویسندگان باجافزار تلاش میکنند تا با خاطری آسوده شب ها سر بر بالین بگذارند.
باجافزار King Ouroboros یک اسکریپت مبتنی بر AutoIt است که ضمن رمزگذاری فایلها، عبارت king_ouroboros را به انتهای نام فایلهای رمز شده میافزاید.
اطلاعیه باجگیری King Ouroboros فایلی با نام README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt است که در آن از قربانی خواسته میشود برای دریافت روال پرداخت باج از طریق ایمیل king.ouroboros@protonmail.com یا a@savemyfiles.pw با گردانندگان باجافزار تماس حاصل کند.
در King Ouroboros فایلی مشابه شکل زیر جایگزین تصویر پسزمینه کاربر میشود.
ضمن اینکه پیش از ورود کاربر به سیستم نیز در پیامی مشابه نمونه زیر به او در خصوص رمزگذاری شدن فایلها هشدار داده میشود.
انتخاب عبارت orangepresident بهعنوان نشانی سرور فرماندهی و درج نام Donald President در پنجره مرورگر در زمان باز کردن نشانی این سرور را هم میتوان نشانهای از بیعلاقگی نویسندگان King Ouroboros به رییس جمهور فعلی آمریکا دانست.
باجافزار King Ouroboros با نامهای زیر قابل شناسایی است:
Bitdefender:
– Trojan.GenericKD.31064841
McAfee:
– RDN/Generic PWS.y
Sophos:
– Mal/Generic-S