باجافزار جدیدی تحت عنوان RobbinHood در حال انتشار است که بهنظر میرسد پس از آلودهسازی نخستین دستگاه، سایر سیستمهای قابل دسترس از طریق آن را نیز مورد هدف قرار میدهد.
MalwareHunterTeam که جزییات RobbinHood را بر روی توییتر به اشتراک گذاشته این اطلاعات را بدون در اختیار داشتن نمونهای از آلودگیها و صرفا بر اساس فایلهای رمزگذاریشده و اطلاعیههای باجگیری که توسط برخی کاربران به سایت id-ransomware.malwarehunterteam.com ارسال شدهاند جمعآوری کرده است.
Encrypted_b0a6c73e3e434b63.enc_robbinhood نمونهای از نام فایلهای رمزگذاری شده است.
به گزارش شرکت مهندسی شبکه گستر، از متن درج شده در اطلاعیه باجگیری میتوان اینطور برداشت کرد که RobbinHood عملکردی کرمگونه (Worm) داشته و احتمالا قادر به توزیع خود در سطح شبکه است.
فایلهای اطلاعیه باجگیری RobbinHood تحت عنوان چهار نام زیر بهصورت همزمان بر روی سیستم کپی میشوند:
- _Decryption_ReadMe.html
- _Decrypt_Files.html
- _Help_Help_Help.html
- _Help_Important.html
این فایلها حاوی اطلاعاتی در خصوص تغییرات – مخرب – اعمال شده بر روی دستگاه، مبلغ باجگیری و لینک به سایتهای زیر در شبکه ناشناس TOR است:
- http[:]//xbt4titax4pzza6w[:]onion/
- https[:]//xbt4titax4pzza6w[:]onion[:]pet/
- https[:]//xbt4titax4pzza6w[:]onion[:]to/
در سایتهای مذکور امکان پیام گذاشتن برای مهاجمان و رمزگشایی رایگان سه فایل با اندازه کمتر از 10 مگابایت فراهم است.
گردانندگان این باجافزار برای آنچه که آن را رمزگشایی فایلها میخوانند دو گزینه پیش روی قربانی قرار دادهاند:
- دریافت مبلغی مشخص برای بازگرداندن فایلهای یک دستگاه به حالت اولیه
- دریافت مبلغی بالاتر اما به صرفهتر برای رمزگشایی کل دستگاههای آلوده شده در سطح شبکه قربانی
همچنین گفته شده که در صورت عدم پرداخت باج ظرف چهار روز، 10 هزار دلار به مبلغ اخاذیشده افزوده میشود.
نکته جالب در خصوص این باجافزار تأکید گردانندگان آن بر روی اهمیت داشتن حریم خصوصی نزد آنها و اطمینان دادن از حذف نشانیهای IP و کلیدهای خصوصی قربانی پس از پرداخت مبلغ اخاذیشده است. جالبتر اینکه گفتهاند که حتی یک بیت از دادهها و اطلاعات شبکه قربانی را نیز نزد خود نگاه نمیدارند!
همچون همیشه بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها توصیه میشود.
تصویری از اطلاعیه باجگیری RobbinHood در زیر قابل مشاهده است.