منابع مختلف از شناسایی باجافزاری خبر دادهاند که پس از رمزگذاری فایلهای کاربر با الگوریتم AES به آنها پسوند poolezoor را الصاق میکند.
به گزارش شرکت مهندسی شبکه گستر، این باجافزار بر پایه پروژه کد باز HiddenTear که پروژهای توسعه داده شده است.
نکته جالب در خصوص باجافزار PooleZoor، درج یک جمله انگلیسی و دو جمله فارسی با نویسههای انگلیسی در اطلاعیه باجگیری آن با نام READ_me_for_encrypted_Files.txt و با متن زیر است.
Files has been encrypted with PooleZoor
Ba pardakht 10,000,000 Riyal File hay khod ra bazgardanid
In Pool sarf omre kheyriye khahad shod
در بخشی از کد این باجافزار نیز به رمز عبور “Amir12345” اشاره شده است.
برخی منابع، وبلاگ http://ransomware-poolezoor.blogspot.com را که دیگر در سامانه Blogger قابل دسترس نیست به نویسنده یا نویسندگان این باجافزار نسبت دادهاند.
شکل زیر تصویری از این وبلاگ را پیش از حذف شدن نمایش میدهد:
متن درج شده در وبلاگ به شرح زیر است:
برای اینکه مارو حمایت بکنید مبلغ یک میلیون تومان به ما پرداخت و برای ما ارسال کنید و در جواب ایمیل شما ما Decryptor را در اختیار شما قرار می دهیم.
نحوه پرداخت:
ورود به لینک: http[://]sep.shapaarak.cf/
تصویر پرداخت خود را در زیر این پست به همراه ادرس ایمیل خود برای ما ارسال نمائید.
نشانی استفاده شده در متن مذکور، سایتی فیشینگ است که هدف آن کلاهبرداری و سرقت اطلاعات بانکی کاربر است. بنابراین در صورت مراجعه قربانی به سایت مذکور و وارد کردن اطلاعات کارت بانکی در آن نه فقط ابزار رمزگشایی در اختیار او قرار نمیگیرد که تمام اطلاعات بانکی وارد شده نیز در خدمت نویسنده یا نویسندگان PooleZoor قرار خواهد گرفت.
نمونه بررسی شده در این خبر با نامهای زیر قابل شناسایی است:
Bitdefender
– Gen:Heur.Ransom.HiddenTears.1
McAfee
– Ransomware-FTD!F35A0B7D05BD
Sophos
– Troj/Cryptear-A