Pay Ransomware
محققان امنیت سایبری یک تهدید مضر دیگر باج افزار را کشف کرده اند. این تهدید با نام Pay Ransomware و متعلق به خانواده Xorist Ransomware، قابلیتهای قوی این خانواده باجافزار را حفظ میکند و میتواند آسیب قابل توجهی به سیستمهایی که آلوده میکند، وارد کند. با اجرای یک روال رمزگذاری با یک الگوریتم رمزنگاری درجه نظامی، باجافزار پرداخت میتواند طیف گستردهای از انواع فایلها را کاملاً غیرقابل استفاده کند. سپس مهاجمان با گروگان گرفتن داده های رمزگذاری شده از قربانی اخاذی می کنند.
هر زمان که باجافزار Pay فایلی را پردازش میکند، با افزودن «Pay» به عنوان پسوند جدید، نام اصلی آن فایل را نیز تغییر میدهد. پس از آن، بدافزار به ارسال پیام باجخواه خود ادامه میدهد. برای اطمینان از اینکه کاربران آسیبدیده دستورالعملهای هکر را خواهند دید، تهدید یک فایل متنی با نام «HOW TO DECRYPT FILES.txt» ایجاد میکند و همچنین آنها را در یک پنجره بازشو نمایش میدهد.
بررسی اجمالی خواسته ها
یادداشت باج نشان داده شده در پنجره بازشو و یادداشت موجود در فایل متنی یکسان هستند. طبق این پیام، عوامل تهدید پشت باجافزار Pay میخواهند دقیقاً 50 دلار باج دریافت کنند. با این حال، آنها فقط پرداخت های بیت کوین را می پذیرند و وجوه باید به آدرس کیف پول رمزنگاری ارائه شده در یادداشت منتقل شود. پس از پرداخت، قربانیان باید کلاینت چت qTox را دانلود کنند تا ظاهراً کلید رمزگشایی مورد نیاز برای بازیابی اطلاعات خود را از مهاجمان دریافت کنند. این یادداشت هشدار میدهد که قربانیان فقط 5 بار تلاش دارند تا کد صحیح را وارد کنند و تجاوز از حد مجاز، ظاهراً تمام دادههای قفل شده را از بین میبرد.
متن کامل یادداشت باج خواهی به شرح زیر است:
' توجه! تمام فایل های شما رمزگذاری شده است!
برای بازیابی فایل های خود و دسترسی به آنها،
50 دلار به ارزش بیت کوین را به این آدرس برای ما ارسال کنیدbc1qmsfh4lz8nar89zvxkverwurkjrmg4d9vqjgj7g
(?? آدرس بیت کوین ??)شما باید 5 تلاش برای وارد کردن کد.
وقتی از این تعداد تجاوز کرد،
تمام داده ها به طور غیر قابل برگشت از بین می روند.
هنگام وارد کردن کد مراقب باشید.به محض اینکه پرداخت را برای ما ارسال کردید، کدی را از مشتری qTox که باید دانلود کنید بررسی می کنید تا بتوانیم کد رمزگشایی را برای شما ارسال کنیم (در زیر بیشتر بخوانید.
اگر می خواهید با ما تماس بگیرید، می توانید پروژه منبع باز qTox را دانلود کنید و من را در این شناسه اضافه کنید (برای دریافت کد خود پس از پرداخت باید با ما تماس بگیرید)
شناسه:
9F15A8EE857F37F03C77A7723D50C47BBCA37 60997A993AB20D7D2A68C59F43D5EFD8AAD77B7Obs: هیچ آنتی ویروسی نمی تواند در اینجا به شما کمک کند، آنها فقط کلاینت هایی را که این کار را شروع کرده است حذف می کنند و هر فرصتی برای رمزگشایی فایل های شما را حذف می کنند، موفق باشید! '