باج افزار جادویی

باج افزار جادویی به عنوان گونه ای از خانواده باج افزار فوبوس طبقه بندی می شود. باج افزار جادویی در مقایسه با سایر اعضای خانواده باج افزار فوبوس تغییر چندانی نکرده است. با این حال، پتانسیل آن برای ایجاد آسیب‌های زیادی به کاربران و ماشین‌هایی که آلوده می‌کند هنوز فعال است و باج‌افزار جادویی هنوز یک تهدید قوی است که می‌تواند کاربران را به طور موثری از رایانه‌های خود دور نگه دارد. با استفاده از یک الگوریتم رمزگذاری غیرقابل کرک، باج‌افزار جادویی تقریباً تمام فایل‌های ذخیره‌شده در رایانه در معرض خطر را غیرقابل دسترس و غیرقابل استفاده می‌کند. سپس باج‌افزار جادویی سعی می‌کند با قول دادن به مبادله کلید رمزگشایی لازم برای انتشار داده‌های قفل‌شده در ازای پرداخت باج، از قربانیان خود اخاذی کند.

باج افزار جادویی نام فایل های آسیب دیده را به شدت تغییر می دهد. به نام اصلی هر فایل رمزگذاری شده یک پسوند فایل جدید، '.magic' اضافه می کند. آدرس‌های ایمیلی که باید برای تماس با افراد پشت باج‌افزار جادویی استفاده شوند عبارتند از: midnight@email.tg و dark_day@cyberfear.com. همچنین امکان استفاده از چت Tox را می دهد. به محض آماده شدن روال رمزگذاری، باج افزار جادویی یادداشت باج خود را همراه با دستورالعمل هایی به قربانیان می اندازد. این پیام دو نسخه دارد - یک نسخه کوتاه‌تر که در فایل‌های متنی به نام 'info.txt' و مجموعه گسترده‌تری از دستورالعمل‌ها، info.hta، که در یک پنجره بازشو نمایش داده می‌شود.

مبلغ دقیق درخواست شده توسط هکرهای کنترل کننده باج‌افزار جادویی ذکر نشده است، اما می‌گوید که این مبلغ به سرعت ارتباط قربانیان بستگی دارد. قربانیان باج‌افزار جادویی مجازند سه فایل غیرمهم را که حجم کل آنها بیش از 4 مگابایت نیست را به پیام‌های خود پیوست کنند. هکرها این فایل ها را به صورت رایگان رمزگشایی خواهند کرد، احتمالاً به عنوان نمایشی از توانایی آنها در بازگردانی تمام داده های قفل شده. هنوز مذاکره با مجرمان سایبری توصیه نمی شود، زیرا می تواند کاربران را در معرض تهدیدات امنیتی بیشتری قرار دهد.

متن نمایش داده شده در فایل 'info.hta' ایجاد شده توسط Magic Ransomware این است:

'همه فایل های شما رمزگذاری شده اند!
تمامی فایل های شما به دلیل مشکل امنیتی کامپیوتر شما رمزگذاری شده اند. اگر می خواهید آنها را بازیابی کنید، به ایمیل midnight@email.tg برای ما بنویسید
این شناسه را در عنوان پیام خود بنویسید
در صورت عدم پاسخگویی در 24 ساعت به این ایمیل برای ما بنویسید:dark_day@cyberfear.com
یا برای ما به پیام رسان TOX بنویسید: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A
می توانید پیام رسان TOX را از اینجا دانلود کنید hxxps://tox.chat/
شما باید برای رمزگشایی در بیت کوین هزینه کنید. قیمت بستگی به سرعت ارسال شما به ما دارد. پس از پرداخت، ابزاری را برای شما ارسال می کنیم که تمام فایل های شما را رمزگشایی می کند.
رمزگشایی رایگان به عنوان تضمین
قبل از پرداخت می توانید حداکثر 3 فایل را برای رمزگشایی رایگان برای ما ارسال کنید. حجم کل فایل ها باید کمتر از 4 مگابایت (غیر بایگانی) باشد و فایل ها نباید حاوی اطلاعات ارزشمندی باشند. (پایگاه‌های اطلاعاتی، پشتیبان‌گیری، برگه‌های بزرگ اکسل و غیره)
نحوه بدست آوردن بیت کوین
ساده ترین راه برای خرید بیت کوین سایت LocalBitcoins است. شما باید ثبت نام کنید، روی «خرید بیت کوین» کلیک کنید و فروشنده را بر اساس روش پرداخت و قیمت انتخاب کنید.
hxxps://localbitcoins.com/buy_bitcoins
همچنین می توانید مکان های دیگری برای خرید بیت کوین و راهنمای مبتدیان را در اینجا بیابید:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید.

محتوای فایل 'info.txt' عبارت است از:

!!!همه فایل های شما رمزگذاری شده است!!!
برای رمزگشایی آنها به این آدرس ایمیل ارسال کنید: midnight@email.tg.
اگر تا 24 ساعت جواب ندادیم به این آدرس ایمیل بزنید dark_day@cyberfear.com
یا برای ما به پیام رسان TOX بنویسید: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A'