Intel Ransomware
محققان گونه جدیدی از باج افزار را کشف کرده اند که به باج افزار اینتل معروف است. این نرم افزار تهدید کننده به دستگاه ها نفوذ می کند، داده های ذخیره شده را رمزگذاری می کند و در ازای رمزگشایی ادعایی اطلاعات به خطر افتاده، باج می خواهد.
قابل ذکر است، فایلهایی که تحت تأثیر باجافزار اینتل قرار میگیرند، تحت فرآیند تغییر نام قرار میگیرند. نام فایل های اصلی با یک شناسه منحصر به فرد اختصاص داده شده به قربانی، به دنبال آن ".[intellent@ai_download_file]"، و با پسوند ".intel" به پایان می رسد. به عنوان مثال، فایلی که در ابتدا با عنوان "1.jpg" برچسب گذاری شده است، به رمزگذاری پس از "1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel" تبدیل می شود.
پس از تکمیل فرآیند رمزگذاری، قربانیان با یادداشتهای باجگیری که هم در یک پنجره بازشو و هم در قالب فایلهای متنی با نام «README!.txt» ارائه میشوند، مواجه میشوند. این فایل های متنی در هر پوشه رمزگذاری شده و روی دسکتاپ سیستم ذخیره می شوند. تجزیه و تحلیل محتوای یادداشت باج نشان می دهد که باج افزار اینتل به طور خاص شرکت ها را هدف قرار می دهد و از تاکتیک های اخاذی مضاعف استفاده می کند. علاوه بر این، این برنامه تهدید کننده به خانواده باج افزار Dharma وابسته است.
باج افزار اینتل از دسترسی قربانیان به داده های خود جلوگیری می کند
باجافزار اینتل با رمزگذاری فایلهای محلی و اشتراکگذاری شده در شبکه، رویکردی جامع را نشان میدهد، در حالی که فایلهای مهم سیستم برای جلوگیری از غیرعملیایی کردن سیستم، تحت تأثیر قرار نمیگیرند. قابل توجه است که از استراتژی جلوگیری از رمزگذاری مضاعف با حذف فایلهای قفلشده توسط سایر باجافزارها استفاده میکند. با این حال، این روش بیاشتباه نیست، زیرا بر یک لیست از پیش تعریفشده متکی است که ممکن است همه انواع باجافزار شناختهشده را در بر نگیرد.
علاوه بر این، بدافزار اینتل با بستن فرآیندهای مرتبط با فایلهایی که میتوانند باز باشند، مانند خوانندههای فایل متنی و برنامههای پایگاه داده، پیچیدگی در عملکرد خود نشان میدهد. هدف این اقدام پیشگیرانه جلوگیری از درگیری برای فایل هایی است که "در حال استفاده" تلقی می شوند، و تضمین می کند که آنها از رمزگذاری مستثنی نیستند.
خانواده باج افزار Dharma، که بدافزار اینتل به آن تعلق دارد، از تاکتیک های استراتژیک برای نفوذ و تداوم استفاده می کند. این شامل خاموش کردن فایروال برای تسهیل نفوذ و فرار از تشخیص است. علاوه بر این، تکنیکهای تضمین پایداری شامل:
-
- در حال کپی کردن بدافزار در مسیر %LOCALAPPDATA%
-
- ثبت آن با کلیدهای Run خاص.
-
- پیکربندی راه اندازی خودکار باج افزار پس از هر بار راه اندازی مجدد سیستم.
یکی از جنبه های قابل توجه حملات دارما، پتانسیل آنها برای اقدامات هدفمند است. برنامههای مرتبط با این خانواده میتوانند دادههای موقعیت جغرافیایی را جمعآوری کنند و در حملات خود استثناهایی را ایجاد کنند. این سازگاری نشان میدهد که آلودگیها ممکن است انگیزههای سیاسی یا ژئوپلیتیکی داشته باشند، یا ممکن است عمداً از قربانیانی اجتناب کنند که بعید به نظر میرسد به درخواستهای باج پاسخ دهند، به ویژه در مناطقی با شرایط اقتصادی ضعیف.
برای ممانعت بیشتر از تلاشهای بازیابی، باجافزار اینتل ممکن است کپیهای حجم سایه را حذف کند و مانع بازیابی نسخههای قبلی فایلها شود. بر اساس تحقیقات گسترده در مورد عفونتهای باجافزار، بدیهی است که رمزگشایی بدون دخالت مهاجمان معمولاً یک چالش غیرقابل حل است.
باج افزار اینتل از تاکتیک های اخاذی مضاعف استفاده می کند
محتوای موجود در فایل متنی به عنوان یک اطلاعیه مختصر به قربانی عمل می کند و نشان می دهد که داده های او رمزگذاری شده و جمع آوری شده است. قربانی را تحریک می کند تا با ارسال یک ایمیل به مهاجمان ارتباط برقرار کند.
در مقابل، پیام پاپ آپ اطلاعات دقیق تری در مورد آلودگی باج افزار ارائه می دهد. این موضوع جنبههای رمزگذاری و سرقت دادهها را تکرار میکند و بر فوریت این وضعیت تأکید میکند. یادداشت باج اخطار شدیدی صادر می کند که عدم تماس با مجرمان سایبری در عرض 24 ساعت یا امتناع از انجام درخواست باج منجر به افشای محتوای سرقت شده در تاریک وب یا فروش آن به رقبای شرکت قربانی می شود.
برای نشان دادن امکان بازیابی، این پیام یک آزمایش رمزگشایی رایگان را ارائه می دهد که روی یک فایل واحد انجام می شود. همچنین به قربانی صراحتاً اطلاع داده شده است که درخواست کمک از شرکت های بازیابی می تواند منجر به خسارات مالی اضافی شود، زیرا این واسطه ها معمولاً هزینه هایی را اعمال می کنند که به مبلغ باج اضافه می شود.
با این حال، اغلب مشاهده می شود که قربانیان، حتی پس از انجام درخواست های باج، کلیدهای رمزگشایی یا نرم افزار وعده داده شده را دریافت نمی کنند. علیرغم انجام الزامات باج، هیچ اطمینانی از بازیابی فایل وجود ندارد. در نتیجه، محققان به شدت از پرداخت باج منع میکنند، زیرا نه تنها بازیابی پروندهها را تضمین نمیکند، بلکه فعالیتهای مجرمانه را تداوم و پشتیبانی میکند. علاوه بر این، درک این نکته ضروری است که در حالی که حذف باجافزار میتواند رمزگذاری بیشتر دادهها را متوقف کند، فرآیند حذف بهطور خودکار فایلهای در معرض خطر قبلی را بازیابی نمیکند.
باج افزار اینتل یادداشت باج گیری زیر را به عنوان یک پنجره بازشو نمایش می دهد:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
اگر ظرف 24 ساعت برای ما نامه ننویسید، ما شروع به انتشار و فروش داده های شما در تاریک نت در سایت های هکر می کنیم و اطلاعات را به رقبای شما ارائه می دهیم.
به ما ایمیل بزنید: intellent.ai@onionmail.org شناسه شما -
اگر در عرض 24 ساعت جواب ندادید، به این ایمیل بنویسید:intellent.ai@onionmail.org
اطلاعات مهم!
به خاطر داشته باشید که وقتی دادههای شما در سایت لو رفته ما ظاهر میشوند، هر لحظه میتوانند توسط رقبای شما خریداری شوند، بنابراین برای مدت طولانی تردید نکنید. هر چه زودتر باج را بپردازید، شرکت شما زودتر در امان خواهد بود.
ما همه گزارشهای شما و درآمد شرکت شما را بررسی کردهایم.
ضمانت: اگر رمزگشا را در اختیار شما قرار ندهیم یا پس از پرداخت، داده های شما را حذف نکنیم، در آینده هیچکس به ما پولی پرداخت نخواهد کرد. ما برای شهرت خود ارزش قائلیم.
کلید گارانتی: برای اثبات وجود کلید رمزگشایی، میتوانیم فایل (نه پایگاه داده و نسخه پشتیبان) را به صورت رایگان آزمایش کنیم.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
به شرکت های بازیابی مراجعه نکنید - آنها اساساً فقط واسطه هستند. رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) ما تنها کسانی هستیم که کلیدهای رمزگشایی را داریم.
فایل های متنی ایجاد شده توسط اینتل باج افزار حاوی پیام زیر است:
اطلاعات شما به سرقت رفته و رمزگذاری شده است!
به ما ایمیل بزنید
intellent.ai@onionmail.org'
