باج افزار EMBARGO
باجافزار EMBARGO یک نرمافزار تهدیدکننده است که برای رمزگذاری فایلها بر روی دستگاه آلوده طراحی شده و آنها را برای کاربر غیرقابل دسترس میکند. هنگامی که فایلها رمزگذاری میشوند، یک پسوند تصادفی به نام هر فایل اضافه میشود که مشخصهای از این نوع باجافزار است. به عنوان مثال، فایلی که در ابتدا document.txt نام داشت ممکن است به document.txt.144vd5 تغییر نام دهد. این امر شناسایی حضور باج افزار در یک سیستم آلوده را آسان می کند.
فهرست مطالب
عفونت و فرآیند رمزگذاری مورد استفاده توسط باج افزار EMBARGO
- عفونت اولیه: باجافزار EMBARGO معمولاً از طریق ایمیلهای فیشینگ، دانلودهای تقلبی یا سوء استفاده از آسیبپذیریهای سیستم به سیستم نفوذ میکند. پس از ورود، فرآیند رمزگذاری را بدون اطلاع کاربر آغاز می کند.
- رمزگذاری فایل: در طول رمزگذاری، EMBARGO انواع فایل های متعددی از جمله اسناد، تصاویر و پایگاه های داده را هدف قرار می دهد. سپس هر فایل رمزگذاری شده با یک پسوند تصادفی منحصر به فرد اضافه می شود. این نه تنها ساختار فایل را مختل می کند، بلکه به عنوان نشانگر حمله باج افزار نیز عمل می کند.
- تحویل یادداشت باج: پس از رمزگذاری، EMBARGO یک یادداشت باج به نام HOW_TO_RECOVER_FILES.txt ایجاد می کند. این یادداشت معمولاً در مکان های برجسته مانند دسکتاپ و فهرست های مختلف حاوی فایل های رمزگذاری شده قرار می گیرد. در یادداشت باج دستورالعمل نحوه پرداخت دیه وجود دارد تا بتوان کلید رمزگشایی در اختیار آنها قرار داد. معمولاً شامل جزئیات زیر است:
- اطلاعیه که فایل ها رمزگذاری شده اند.
- دستورالعمل نحوه خرید ارز دیجیتال (معمولا بیت کوین).
- مبلغ دیه
- اطلاعات تماس مهاجمان
نحوه رمزگشایی داده ها و حذف باج افزار
- اجتناب از پرداخت باج: کارشناسان امنیتی به شدت توصیه می کنند که باج را پرداخت نکنید. هیچ اطمینانی وجود ندارد که مهاجمان کلید رمزگشایی را ارسال کنند، و پرداخت باج فقط فعالیت مجرمانه بیشتر را تشویق می کند.
- استفاده از ابزارهای رمزگشایی: در حال حاضر، ممکن است ابزار رمزگشایی جهانی برای باجافزار EMBARGO وجود نداشته باشد. با این حال، قربانیان تشویق می شوند تا برای هر گونه به روز رسانی در مورد راه حل های رمزگشایی احتمالی، وب سایت ها و انجمن های معتبر امنیت سایبری را بررسی کنند.
اقدامات پیشگیرانه برای جلوگیری از عفونت باج افزار
- پشتیبان گیری منظم: به طور مرتب از داده های خود نسخه پشتیبان تهیه کنید و اطمینان حاصل کنید که نسخه های پشتیبان در یک محیط ابری امن یا آفلاین ذخیره می شوند.
- نرم افزار امنیتی: نصب و به روز رسانی منظم نرم افزارهای ضد بدافزار. از ویژگی های امنیتی استفاده کنید که حفاظت و اسکن در زمان واقعی را ارائه می دهند.
- آموزش کاربر: به کاربران در مورد خطرات ایمیل های فیشینگ و دانلودهای مشکوک آموزش دهید. هنگام باز کردن پیوستهای ایمیل یا کلیک کردن روی پیوندهایی از منابع ناشناس، هوشیاری را تشویق کنید.
- به روز رسانی سیستم: سیستم عامل ها و همه نرم افزارها را با اعمال آخرین اصلاحات امنیتی برای محافظت در برابر آسیب پذیری ها به روز نگه دارید.
باجافزار EMBARGO به دلیل روشهای رمزگذاری و پیوستهای تصادفی پسوند فایل، تهدیدی مهم برای امنیت دادهها است. با درک عملکرد آن و انجام اقدامات پیشگیرانه، کاربران و سازمان های رایانه شخصی می توانند خطرات مرتبط با این باج افزار را کاهش دهند.
در اینجا یادداشت باج گیری توسط باج افزار EMBARGO نشان داده شده است:
'Your network has been chosen for Security Audit by EMBARGO Team.
We successfully infiltrated your network, downloaded all important and sensitive documents, files, databases, and encrypted your systems.
You must contact us before the deadline 2024-05-21 06:25:37 +0000 UTC, to decrypt your systems and prevent your sensitive information from disclosure on our blog:
-Do not modify any files or file extensions. Your data maybe lost forever.
Instructions:
1. Download torbrowser: hxxps://www.torproject.org/download/
2. Go to your registration link:
=================================
-
=================================
3. Register an account then loginIf you have problems with this instructions, you can contact us on TOX:
-After payment for our services, you will receive:
- decrypt app for all systems
- proof that we delete your data from our systems
- full detail pentest report
- 48 hours support from our professional team to help you recover systems and develop Disaster Recovery planIMPORTANT: After 2024-05-21 06:25:37 +0000 UTC deadline, your registration link will be disabled and no new registrations will be allowed.
If no account has been registered, your keys will be deleted, and your data will be automatically publish to our blog and/or sold to data brokers.WARNING: Speak for yourself. Our team has many years experience, and we will not waste time with professional negotiators.
If we suspect you to speaking by professional negotiators, your keys will be immediate deleted and data will be published/sold.'