Pay Ransomware

محققان امنیت سایبری یک تهدید مضر دیگر باج افزار را کشف کرده اند. این تهدید با نام Pay Ransomware و متعلق به خانواده Xorist Ransomware، قابلیت‌های قوی این خانواده باج‌افزار را حفظ می‌کند و می‌تواند آسیب قابل توجهی به سیستم‌هایی که آلوده می‌کند، وارد کند. با اجرای یک روال رمزگذاری با یک الگوریتم رمزنگاری درجه نظامی، باج‌افزار پرداخت می‌تواند طیف گسترده‌ای از انواع فایل‌ها را کاملاً غیرقابل استفاده کند. سپس مهاجمان با گروگان گرفتن داده های رمزگذاری شده از قربانی اخاذی می کنند.

هر زمان که باج‌افزار Pay فایلی را پردازش می‌کند، با افزودن «Pay» به عنوان پسوند جدید، نام اصلی آن فایل را نیز تغییر می‌دهد. پس از آن، بدافزار به ارسال پیام باج‌خواه خود ادامه می‌دهد. برای اطمینان از اینکه کاربران آسیب‌دیده دستورالعمل‌های هکر را خواهند دید، تهدید یک فایل متنی با نام «HOW TO DECRYPT FILES.txt» ایجاد می‌کند و همچنین آن‌ها را در یک پنجره بازشو نمایش می‌دهد.

بررسی اجمالی خواسته ها

یادداشت باج نشان داده شده در پنجره بازشو و یادداشت موجود در فایل متنی یکسان هستند. طبق این پیام، عوامل تهدید پشت باج‌افزار Pay می‌خواهند دقیقاً 50 دلار باج دریافت کنند. با این حال، آنها فقط پرداخت های بیت کوین را می پذیرند و وجوه باید به آدرس کیف پول رمزنگاری ارائه شده در یادداشت منتقل شود. پس از پرداخت، قربانیان باید کلاینت چت qTox را دانلود کنند تا ظاهراً کلید رمزگشایی مورد نیاز برای بازیابی اطلاعات خود را از مهاجمان دریافت کنند. این یادداشت هشدار می‌دهد که قربانیان فقط 5 بار تلاش دارند تا کد صحیح را وارد کنند و تجاوز از حد مجاز، ظاهراً تمام داده‌های قفل شده را از بین می‌برد.

متن کامل یادداشت باج خواهی به شرح زیر است:

' توجه! تمام فایل های شما رمزگذاری شده است!
برای بازیابی فایل های خود و دسترسی به آنها،
50 دلار به ارزش بیت کوین را به این آدرس برای ما ارسال کنید

bc1qmsfh4lz8nar89zvxkverwurkjrmg4d9vqjgj7g
(?? آدرس بیت کوین ??)

شما باید 5 تلاش برای وارد کردن کد.
وقتی از این تعداد تجاوز کرد،
تمام داده ها به طور غیر قابل برگشت از بین می روند.
هنگام وارد کردن کد مراقب باشید.

به محض اینکه پرداخت را برای ما ارسال کردید، کدی را از مشتری qTox که باید دانلود کنید بررسی می کنید تا بتوانیم کد رمزگشایی را برای شما ارسال کنیم (در زیر بیشتر بخوانید.

اگر می خواهید با ما تماس بگیرید، می توانید پروژه منبع باز qTox را دانلود کنید و من را در این شناسه اضافه کنید (برای دریافت کد خود پس از پرداخت باید با ما تماس بگیرید)
شناسه:
9F15A8EE857F37F03C77A7723D50C47BBCA37 60997A993AB20D7D2A68C59F43D5EFD8AAD77B7

Obs: هیچ آنتی ویروسی نمی تواند در اینجا به شما کمک کند، آنها فقط کلاینت هایی را که این کار را شروع کرده است حذف می کنند و هر فرصتی برای رمزگشایی فایل های شما را حذف می کنند، موفق باشید! '