3AM Ransomware
باجافزار 3AM بهعنوان یک تهدید بسیار شرور و مضر شناخته میشود. این باج افزار که به دلیل شیوه عملکرد متمایز خود شناخته شده است، افراد و سازمان های بی شماری را ویران کرده است.
باجافزار 3AM به دلیل قابلیتهای رمزگذاریاش بدنام است. هنگامی که به سیستم قربانی نفوذ می کند، به طور مخفیانه طیف گسترده ای از فایل ها را رمزگذاری می کند و آنها را برای کاربر غیرقابل دسترس می کند. برای علامت گذاری حضور خود و اعمال کنترل بر داده های قربانی، پسوند فایل ".threeamtime" را به فایل های رمزگذاری شده اضافه می کند. برای مثال، فایلی با نام اصلی "document.docx" به "document.docx.threeamtime" تبدیل می شود. این پسوند متمایز به قربانی سیگنال می دهد که فایل های او اکنون تحت کنترل اپراتورهای باج افزار است.
توجه باج: RECOVER-FILES.txt
برای اطمینان از اینکه قربانی به خوبی از وضعیت وخیم آگاه است، باج افزار 3AM یک یادداشت باج بر روی سیستم در معرض خطر قرار می دهد. این یادداشت، که معمولاً "RECOVER-FILES.txt" نام دارد، به عنوان یادآوری تلخ از وضعیت گروگان گیری داده ها عمل می کند. در یادداشت، مجرمان برای دریافت کلید رمزگشایی مورد نیاز برای دسترسی مجدد به فایل های رمزگذاری شده، درخواست باج می کنند.
باج افزار 3AM در تلاشی برای حفظ ناشناس بودن و فرار از اجرای قانون، آدرس وب سایت Tor را در یادداشت باج به قربانیان ارائه می دهد. Tor، مخفف "The Onion Router"، شبکه ای است که برای ناشناس کردن ترافیک وب طراحی شده است و ردیابی مکان و هویت کاربران را بسیار دشوار می کند. به قربانیان آموزش داده میشود که با استفاده از مرورگر Tor به این وبسایت دسترسی داشته باشند، جایی که میتوانند دستورالعملهای بیشتری در مورد نحوه پرداخت باج و دریافت کلید رمزگشایی بیابند. استفاده از Tor برای برقراری ارتباط بر ماهیت پیچیده تهدید و طول مدتی که مجرمان سایبری مایلند برای حفظ ناشناس بودن خود متحمل شوند، تأکید می کند.
چالشهای بازیابی اطلاعات: حذف کپی حجم سایه و خاتمه فرآیند
یکی از موذیترین جنبههای باجافزار 3AM، تلاش آن برای ایجاد چالش در بازیابی اطلاعات برای قربانیان است. برای رسیدن به این هدف، از دو تکنیک کلیدی استفاده می کند:
آ. حذف کپی های حجمی سایه: سیستم عامل های ویندوز کپی هایی از فایل ها و داده ها را در قابلیتی به نام Shadow Volume Copy نگهداری می کنند. از این کپی ها می توان برای بازیابی فایل ها در صورت از دست رفتن اطلاعات استفاده کرد. با این حال، باجافزار 3AM فعالانه تلاش میکند تا این کپیها را حذف کند و مطمئن شود که قربانیان بدون پرداخت باج، هیچ رجوعی برای بازیابی اطلاعات ندارند.
ب خاتمه فرآیند: علاوه بر حذف کپیهای حجم سایه، باجافزار همچنین اقداماتی را برای توقف برخی فرآیندهای حیاتی انجام میدهد. با توقف این فرآیندها، دسترسی قربانیان به ابزارها یا خدماتی که ممکن است به بازیابی یا حذف باج افزار کمک کنند، حتی دشوارتر می کند.
باج افزار 3AM یک تهدید بزرگ است که تکنیک های رمزگذاری پیشرفته را با استفاده از Tor برای ارتباطات ناشناس ترکیب می کند. آسیب پذیری افراد و سازمان ها را شکار می کند و قربانیان را با یک انتخاب سخت می گذارد: پرداخت باج یا خطر از دست دادن داده های خود برای همیشه. علاوه بر این، تلاشهای آن برای حذف کپیهای حجم سایه و اختلال در فرآیندهای حیاتی، چالشهایی را که قربانیان در بازیابی فایلهای خود با آن مواجه هستند، تشدید میکند.
از آنجایی که حملات باجافزاری به تکامل خود ادامه میدهند، ضروری است که افراد و سازمانها اقدامات امنیتی سایبری قوی، از جمله پشتیبانگیری منظم، وصلههای سیستمی و آموزش کارکنان را برای شناسایی و کاهش این تهدیدها در اولویت قرار دهند. در نهایت، اقدامات پیشگیرانه بهترین دفاع در برابر دنیای تاریک باج افزار، از جمله باج افزار موذیانه 3AM باقی می ماند.
در یادداشت باجگیری که توسط باجافزار 3AM به قربانیانش تحویل داده شده است، آمده است: