خبر خوش برای قربانیان FilesLocker در نسخه کریسمس این باج‌افزار

از چند روز گذشته نسخه جدیدی از باج‌افزار FilesLocker در حال انتشار است که به نسخه کریسمس (Christmas Edition) معروف شده است. همانند نسخه‌های قبلی، در این نسخه نیز فایل‌های کاربر رمزگذاری شده و با کپی فایل‌های موسوم به اطلاعیه باج‌گیری (Ransom Note) در ازای آنچه که نویسندگان باج‌افزار بازگرداندن فایل‌ها به حالت اولیه می‌خوانند از قربانی اخاذی می‌گردد. همچنین در این نسخه، تصویر پس‌زمینه صفحه کار Windows نیز با تصویری با حال و هوای کریسمس جایگزین می‌شود.

به گزارش شرکت مهندسی شبکه گستر، نکته عجیب در نسخه جدید اینکه پس از اتمام فرایند رمزگذاری، صفحه‌ای اینترنتی در مرورگر پیش‌فرض دستگاه باز می‌شود که در آن کلید اصلی RSA رمزگشایی نسخه‌های 1 و 2 باج‌افزار FilesLocker به اشتراک گذاشته شده است.

انتشار کلید مذکور، محققان امنیتی را قادر به ساخت ابزاری کرده که امکان رمزگشایی فایل‌های رمز شده توسط نسخه‌های 1 و 2 این باج‌افزار را فراهم می‌سازد. در این دو نسخه به فایل‌های رمزگذاری شده، پسوند [fileslocker@pm.me] الصاق می‌شود.

باید توجه داشت که برای رمزگشایی موفق، نیاز است که فایل اطلاعیه باج‌گیری کپی شده بر روی دستگاه آلوده به ابزار مذکور معرفی شود. اطلاعیه باج‌گیری حاوی کلیدی رمز شده است که توسط کلید افشا شده مذکور قابل باز شدن بوده و خروجی آن توسط ابزار برای رمزگشایی فایل‌ها مورد استفاده قرار می‌گیرد. این ابزار و راهنمای استفاده از آن در اینحا قابل دریافت و مطالعه است.

مشخص نیست که انگیزه مهاجمان از به اشتراک‌گذاری کلید اصلی این باج‌افزار چه بوده است؛ با این حال درج جمله “پایان فقط آغاز است” (The end is just the beginning) در صفحه اینترنتی حاوی کلید، شاید نشانه‌ای از آغاز پروژه‌ای جدید توسط این مهاجمان باشد.

توضیح اینکه نسخه کریسمس باج‌افزار FilesLocker با نام‌های زیر قابل شناسایی است:

Bitdefender:
   – Gen:Variant.Razy.442989

McAfee:
   – RDN/Ransom

Sophos:
   – Mal/Ramsil-T