Qotr Ransomware
باج افزار Qotr یک نرم افزار تهدید کننده است که برای هدف قرار دادن رایانه ها و شبکه های کاربران استفاده شده است. باجافزار Qotr برای رمزگذاری دادهها بر روی رایانه آسیبدیده طراحی شده است و از دسترسی به فایلهای ضروری تا زمان پرداخت باج جلوگیری میکند. این نوع حمله میتواند برای کسبوکارها یا افرادی که به شدت به دادههای خود متکی هستند و ممکن است منابعی برای بازیابی اطلاعات خود یا پرداخت پول به مهاجم نداشته باشند، مخرب باشد.
حمله باج افزار Qotr چگونه اجرا می شود؟
باج افزار Qotr یکی دیگر از باج افزارهای بدنام STOP/Djvu است. باجافزار Qotr با بهرهبرداری از آسیبپذیریها در برنامهها یا سیستمعاملهایی که روی رایانه کاربر نصب شدهاند، کار میکند. پس از نصب بدافزار، فایلها را با یک الگوریتم رمزگذاری قوی رمزگذاری میکند و غیرقابل دسترس میکند مگر اینکه باج پرداخت شود. برای نشان دادن اینکه فایلها رمزگذاری شدهاند و برای باج نگهداری میشوند، باجافزار ممکن است از روشهای مختلفی برای علامتگذاری فایلهای رمزگذاریشده استفاده کند:
-
- تغییرات پسوند فایل : باج افزار ممکن است پسوند فایل جدیدی را به فایل های رمزگذاری شده اضافه کند تا نشان دهد که آنها رمزگذاری شده اند، که در این مورد پسوند فایل '.qotr' است. برای مثال، فایلی با نام "report.doc" ممکن است به "report.doc.qotr" تغییر نام دهد.
-
- نام فایلهای جدید : باجافزار ممکن است فایلهای رمزگذاریشده را با یک نام کاملاً جدید، مانند یک رشته تصادفی از کاراکترها یا نامی که شامل آدرس ایمیل مهاجم یا سایر اطلاعات شناسایی باشد، تغییر نام دهد.
-
- یادداشتهای باج : باجافزار همچنین ممکن است یادداشت باجگیری ایجاد کند که در رایانه قربانی ظاهر میشود یا در پوشههای حاوی فایلهای رمزگذاری شده باقی میماند. یادداشت معمولاً توضیح میدهد که فایلهای قربانی رمزگذاری شدهاند و دستورالعملهایی درباره نحوه پرداخت باج برای دریافت کلید رمزگشایی ارائه میدهد.
-
- تغییرات پسزمینه دسکتاپ : برخی از گونههای باجافزار ممکن است پسزمینه دسکتاپ رایانه قربانی را برای نمایش پیامی از سوی مهاجمان تغییر دهند که توضیح میدهد فایلها رمزگذاری شدهاند. مهاجم معمولاً از ارزهای دیجیتال یا سایر اشکال ارز دیجیتال مانند بیت کوین درخواست پرداخت می کند.
چگونه باج افزار Qotr می تواند یک کامپیوتر را آلوده کند
روش های مختلفی توسط توسعه دهندگان باج افزار برای ارائه تهدیدات خود استفاده می شود. رایج ترین موارد استفاده شده عبارتند از:
آ. ایمیلهای فیشینگ : Qbot اغلب از طریق کمپینهای فیشینگ ایمیل پخش میشود، که در آن مهاجم ایمیلی حاوی پیوست یا پیوند دستکاری شده را برای قربانی ارسال میکند. این ایمیل ممکن است به عنوان یک پیام قانونی از یک منبع قابل اعتماد، مانند یک موسسه مالی یا سازمان دولتی، پنهان شود.
ب استفاده از آسیبپذیریهای نرمافزار : Qbot ممکن است از آسیبپذیریهای نرمافزاری، مانند سیستمعاملها یا برنامهها، برای آلوده کردن رایانه استفاده کند. هنگامی که یک آسیب پذیری شناسایی شد، مهاجم می تواند از آن برای اجرای کد از راه دور بر روی سیستم قربانی استفاده کند.
ج بارگیریهای به خطر افتاده : Qbot همچنین ممکن است از طریق وبسایتهای فریبنده یا شبکههای اشتراکگذاری فایل دانلود شود. این وبسایتها یا شبکهها ممکن است میزبان فایلهایی باشند که به عنوان نرمافزار قانونی پنهان شدهاند، اما در واقع به Qbot یا سایر بدافزارها آلوده شدهاند. مهاجمان خواهان پرداخت 980 دلار هستند که اگر قربانی ظرف 72 ساعت پس از حمله با آنها تماس بگیرد، می تواند به 490 دلار کاهش یابد. برای ایجاد این تماس، آنها دو آدرس ایمیل support@freshmail.top و datarestorehelp@airmail.cc را ارائه می دهند. قربانیان اجازه دارند یک فایل را به صورت رایگان برای رمزگشایی ارسال کنند، بنابراین آنها می توانند مطمئن شوند که مهاجمان یک نرم افزار رمزگشایی فعال دارند.
یادداشت باجگیری که توسط باجافزار Qotr بهعنوان یک فایل متنی با نام «_readm.txt» تولید میشود، در صفحه قربانیان نمایش داده میشود و میخواند:
'توجه!
نگران نباشید، شما می توانید تمام فایل های خود را برگردانید!
تمامی فایل های شما مانند تصاویر، پایگاه های داده، اسناد و سایر موارد مهم با قوی ترین رمزگذاری و کلید منحصر به فرد رمزگذاری می شوند.
تنها روش بازیابی فایل ها خرید ابزار رمزگشایی و کلید منحصر به فرد برای شماست.
این نرم افزار تمامی فایل های رمزگذاری شده شما را رمزگشایی می کند.
چه تضمینی دارید؟
شما می توانید یکی از فایل های رمزگذاری شده خود را از رایانه شخصی خود ارسال کنید و ما آن را به صورت رایگان رمزگشایی می کنیم.
اما ما می توانیم تنها 1 فایل را به صورت رایگان رمزگشایی کنیم. فایل نباید حاوی اطلاعات ارزشمندی باشد.
می توانید ابزار رمزگشایی نمای کلی ویدیو را دریافت کرده و نگاه کنید:
hxxps://we.tl/t-iftnY5iBx9
قیمت نرم افزار کلید خصوصی و رمزگشایی 980 دلار است.
اگر 72 ساعت اول با ما تماس بگیرید، 50٪ تخفیف در دسترس است، این قیمت برای شما 490 دلار است.
لطفاً توجه داشته باشید که هرگز داده های خود را بدون پرداخت بازیابی نمی کنید.
اگر بیش از 6 ساعت پاسخ دریافت نکردید، پوشه "هرزنامه" یا "ناخواسته" ایمیل خود را بررسی کنید.
برای دریافت این نرم افزار باید در ایمیل ما بنویسید:
support@freshmail.top
برای تماس با ما آدرس ایمیل را رزرو کنید:
datarestorehelp@airmail.cc
شناسه شخصی شما:'
کاربران رایانه باید با اصلاح منظم برنامه ها و سیستم عامل های خود و استفاده از نرم افزارهای ضد بدافزار با تعاریف به روز، از خود در برابر حملات باج افزار Qotr محافظت کنند. تهیه نسخه پشتیبان از فایل های مهم در یک درایو خارجی یا سرویس ذخیره سازی ابری نیز یک راه موثر برای محافظت در برابر از دست دادن داده ها به دلیل حملات باج افزار است.