کاربران ایرانی، هدف باج‌افزار فارسی پول زور!

منابع مختلف از شناسایی باج‌افزاری خبر داده‌اند که پس از رمزگذاری فایل‌های کاربر با الگوریتم AES به آنها پسوند poolezoor را الصاق می‌کند.

به گزارش شرکت مهندسی شبکه گستر، این باج‌افزار بر پایه پروژه کد باز HiddenTear که پروژه‌ای توسعه داده شده است.

نکته جالب در خصوص باج‌افزار PooleZoor، درج یک جمله انگلیسی و دو جمله فارسی با نویسه‌های انگلیسی در اطلاعیه باج‌گیری آن با نام READ_me_for_encrypted_Files.txt و با متن زیر است.

Files has been encrypted with PooleZoor
Ba pardakht 10,000,000 Riyal File hay khod ra bazgardanid
In Pool sarf omre kheyriye khahad shod

در بخشی از کد این باج‌افزار نیز به رمز عبور “Amir12345” اشاره شده است.

برخی منابع، وبلاگ http://ransomware-poolezoor.blogspot.com را که دیگر در سامانه Blogger قابل دسترس نیست به نویسنده یا نویسندگان این باج‌افزار نسبت داده‌اند.

شکل زیر تصویری از این وبلاگ را پیش از حذف شدن نمایش می‌دهد:

متن درج شده در وبلاگ به شرح زیر است:

برای اینکه مارو حمایت بکنید مبلغ یک میلیون تومان به ما پرداخت و برای ما ارسال کنید و در جواب ایمیل شما ما Decryptor را در اختیار شما قرار می دهیم.
نحوه پرداخت:
ورود به لینک: http[://]sep.shapaarak.cf/
تصویر پرداخت خود را در زیر این پست به همراه ادرس ایمیل خود برای ما ارسال نمائید.

نشانی استفاده شده در متن مذکور، سایتی فیشینگ است که هدف آن کلاهبرداری و سرقت اطلاعات بانکی کاربر است. بنابراین در صورت مراجعه قربانی به سایت مذکور و وارد کردن اطلاعات کارت بانکی در آن نه فقط ابزار رمزگشایی در اختیار او قرار نمی‌گیرد که تمام اطلاعات بانکی وارد شده نیز در خدمت نویسنده یا نویسندگان PooleZoor قرار خواهد گرفت.

نمونه بررسی شده در این خبر با نام‌های زیر قابل شناسایی است:

Bitdefender
   – Gen:Heur.Ransom.HiddenTears.1

McAfee
   – Ransomware-FTD!F35A0B7D05BD

Sophos
   – Troj/Cryptear-A