FLSCRYPT Ransomware

کارشناسان Infosec یک تهدید باج افزار به نام FLSCRYPT را شناسایی کرده اند. پس از تجزیه و تحلیل کدهای زیربنایی و رفتار بدافزار، محققان به این نتیجه رسیدند که این بدافزار گونه‌ای از خانواده باج‌افزار فوبوس است. با این حال، ظرفیت FLSCRYPT برای ایجاد آسیب نباید دست کم گرفته شود. اگر تهدید با موفقیت در دستگاه قربانی اجرا شود، یک روال رمزگذاری را فعال می کند که انواع فایل های متعددی را در حالت غیرقابل استفاده باقی می گذارد.

سپس تهدید نام اصلی تمام فایل های قفل شده را تغییر می دهد. این یک رشته ID، یک ایمیل و یک پسوند فایل جدید اضافه می کند. ایمیل "decrypt2022@onionmail.org" و پسوند اضافه شده ".FLSCRYPT" است. باج افزار FLSCRYPT برای اطمینان از اینکه قربانیان آن یادداشت باج را با دستورالعمل های مهاجمان از دست نخواهند داد، دو پیام یکسان به جا می گذارد. یکی به عنوان یک پاپ آپ ایجاد شده از فایلی به نام 'info.hta' نمایش داده می شود، در حالی که دیگری به عنوان یک فایل متنی با نام 'info.txt' تحویل داده می شود.

بر اساس پیام باج خواهی، مجرمان سایبری نیز توانسته اند اطلاعات حساس مختلفی را از قربانیان خود به دست آورند. اسناد جمع‌آوری‌شده اکنون در یک سرور راه دور ذخیره می‌شوند و در صورتی که هکرها باج درخواستی را دریافت نکنند، در اختیار عموم قرار خواهند گرفت. در یادداشت، قربانیان می‌توانند کانال‌های ارتباطی متعددی را بیابند که به آنها اجازه می‌دهد به عوامل تهدید دسترسی پیدا کنند. به غیر از ایمیل decrypt2022@onionmail.org، آدرس 'decrypt2022@msgsafe.io، حساب تلگرام Files_decrypt@، حساب ICQ و شناسه چت Tox نیز وجود دارد. در یادداشت باج نیز آمده است که قربانیانی که زودتر تماس برقرار کنند، ظاهراً شرایط مطلوب تری دریافت خواهند کرد.

البته اعتماد به سخنان مجرمان سایبری کار پرخطری است. ناگفته نماند که برقراری ارتباط با عوامل تهدید می‌تواند کاربران یا نهادهای شرکتی را که تحت تأثیر یک حمله باج‌افزار قرار گرفته‌اند، در معرض مسائل امنیتی و حریم خصوصی اضافی قرار دهد.

متن کامل یادداشت به شرح زیر است:

' سلام دوست عزیزم. تمام فایل های شما رمزگذاری شده اند!

متأسفانه برای شما، یک ضعف عمده در امنیت IT شما را برای حمله باز گذاشت، فایل های شما رمزگذاری شده اند. تنها روش بازیابی فایل ها خرید ابزار رمزگشایی و کلید منحصر به فرد برای شماست.
اگر می خواهید فایل های خود را بازیابی کنید، به این ایمیل برای ما بنویسید: decrypt2022@onionmail.org در صورت عدم پاسخگویی در 24 ساعت به این ایمیل برای ما بنویسید:decrypt2022@msgsafe.io
اپراتور آنلاین ما در پیام رسان تلگرام موجود است: @Files_decrypt یا hxxps://t.me/Files_decrypt
اگر ایمیل ما پاسخی دریافت نکرد، می‌توانید نرم‌افزار ICQ را بر روی رایانه شخصی خود در اینجا hxxps://icq.com/windows/ یا روی گوشی هوشمند از Appstore / Google Play Market برای «ICQ» نصب کنید.
به ICQ ما بنویسید @Ransomware_Decrypt hxxps://icq.im/Ransomware_Decrypt/ یا پیام رسان (Session) (hxxps://getsession.org) را در مسنجر بارگیری کنید: 0569a7c0949434c9c4464cf2423f343414000
شما باید این شناسه را اضافه کنید - و ما تبدیل خود را کامل می کنیم.
یا Tox Chat (hxxps://tox.chat/download.html') را در مسنجر دانلود کنید: C20A4B4AC30BBF70E7F2340FC0F97B08FA58B6E041557ABBF29EAF82FED0C47D79239FA26 و باید این را به ما بنویسید - ID79239FA26.

لطفاً توجه داشته باشید که هرگز داده های خود را بدون پرداخت بازیابی نمی کنید. اگر بیش از 6 ساعت پاسخ دریافت نکردید، پوشه "هرزنامه" یا "ناخواسته" ایمیل خود را بررسی کنید.
به زودی با ما تماس بگیرید، زیرا کسانی که اطلاعات خود را در وبلاگ انتشار مطبوعاتی ما ندارند و هزینه ای که باید بپردازند به طور قابل توجهی افزایش می یابد.

داده های شما
داده های حساس سیستم شما دانلود شد.
اگر نمی خواهید اطلاعات حساس شما منتشر شود، باید سریع عمل کنید.

داده ها شامل:
اطلاعات شخصی کارکنان، CV، DL، SSN.
نقشه شبکه کامل شامل اعتبار برای خدمات محلی و راه دور.
اطلاعات مالی خصوصی شامل: داده های مشتریان، صورتحساب ها، بودجه ها، گزارش های سالانه، صورت های بانکی.
اسناد ساخت شامل: دیتاگرام، طرحواره ها، نقشه ها در قالب solidworks
و بیشتر…

توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
ما همیشه آماده همکاری و یافتن بهترین راه برای حل مشکل شما هستیم.
هرچه سریعتر بنویسید - شرایط مطلوب تری برای شما ایجاد می شود.
شرکت ما برای شهرت خود ارزش قائل است. ما تمام ضمانت های رمزگشایی فایل های شما را می دهیم. '