RADAR Ransomware

محافظت از دستگاه های شما در برابر تهدیدات بدافزار در عصر دیجیتال امروزی بسیار مهم است. یکی از انواع مضر بدافزار، باج‌افزار، با رمزگذاری فایل‌ها و درخواست پرداخت برای رمزگشایی آنها، خطرات قابل توجهی را به همراه دارد. درک و محافظت در برابر چنین تهدیداتی هم برای افراد و هم برای سازمان ها ضروری است.

باج افزار رادار: یک مرور کلی

محققان تهدید باج افزار جدیدی به نام RADAR را شناسایی کرده اند. این نرم افزار تهدید کننده به طور خاص برای رمزگذاری فایل ها در دستگاه های آلوده و سپس درخواست باج برای رمزگشایی آنها طراحی شده است. روش کار باج‌افزار RADAR شامل رمزگذاری فایل‌ها و الحاق نام فایل‌های آن‌ها با یک رشته کاراکتر تصادفی، تبدیل، برای مثال، '1.png' به '1.png.W8M8ePNp' است.

رفتار پس از اعدام

هنگامی که باج افزار بر روی یک دستگاه در معرض خطر اجرا می شود، یک سری اقدامات مضر انجام می دهد:

• رمزگذاری فایل : رادار فایل‌های قربانی را رمزگذاری می‌کند و نام فایل‌های آن‌ها را با اضافه کردن یک رشته تصادفی از کاراکترها تغییر می‌دهد.
• تغییر دسکتاپ : باج‌افزار تصویر زمینه دسک‌تاپ را تغییر می‌دهد تا به عفونت پیام دهد.
• ایجاد یادداشت باج : یک یادداشت باج با عنوان "README_FOR_DECRYPT.txt" ایجاد می شود که قربانی را از رمزگذاری و سرقت داده مطلع می کند.

جزئیات یادداشت باج

باج در مطالبات و تهدیدات آن صریح است. با اطلاع دادن به قربانی مبنی بر رمزگذاری فایل‌هایش آغاز می‌شود و سپس هشدار می‌دهد که در صورت عدم پرداخت باج، داده‌های جمع‌آوری‌شده لو خواهد رفت. برای تأکید بر جدی بودن ادعای آنها، این یادداشت شامل جزئیاتی در مورد حملات قبلی مجرمان سایبری و درز اطلاعات است. قربانیان اجازه دارند قبل از پرداخت باج، رمزگشایی 5 تا 10 فایل را آزمایش کنند. علاوه بر این، یادداشت قربانیان را از تغییر نام، تغییر یا حذف فایل‌های قفل شده هشدار می‌دهد، زیرا چنین اقداماتی می‌تواند رمزگشایی را غیرممکن کند. همچنین تهدید می کند که تماس با مقامات منجر به انتشار خودکار داده های استخراج شده خواهد شد. در نهایت، این یادداشت توصیه می‌کند که از کمک گرفتن از شرکت‌های بازیابی شخص ثالث خودداری کنید و تاکید می‌کند که این باعث افزایش ضرر مالی می‌شود.

چالش های رمزگشایی

محققان بر دشواری رمزگشایی فایل‌ها بدون کمک مجرمان سایبری تاکید می‌کنند. اکثر باج افزارها، از جمله رادار، به گونه ای طراحی شده اند که در برابر تلاش های رمزگشایی بسیار مقاوم باشند، مگر اینکه مهاجم کلیدهای لازم را ارائه دهد. حتی پرداخت باج نیز مخاطره آمیز است، زیرا مهاجمان به ندرت به قول خود مبنی بر ارسال ابزار رمزگشایی عمل می کنند.

برای جلوگیری از رمزگذاری بیشتر داده ها، حذف باج افزار RADAR از سیستم عامل بسیار مهم است. با این حال، حذف فایل های رمزگذاری شده قبلی را بازیابی نمی کند.

اقدامات امنیتی برای محافظت در برابر باج افزار

برای محافظت از دستگاه های خود در برابر باج افزارهایی مانند RADAR، اجرای اقدامات امنیتی زیر ضروری است:

• پشتیبان گیری منظم : به طور مرتب از تمام داده های مهم در یک درایو خارجی یا سرویس ابری پشتیبان تهیه کنید تا مطمئن شوید که می توانید فایل ها را بدون پرداخت باج بازیابی کنید.
• به روز رسانی نرم افزار : سیستم عامل و برنامه های کاربردی ارتقا یافته با آخرین وصله های امنیتی را حفظ کنید.
• ابزارهای ضد بدافزار : از برنامه‌های ضد بدافزار معتبر برای فاش کردن و مسدود کردن باج‌افزار قبل از ایجاد آسیب استفاده کنید.
• هوشیاری ایمیل : در مورد پیوست‌ها و پیوندهای ایمیل، به‌ویژه از فرستنده‌های ناشناس، محتاط باشید، زیرا این‌ها بردارهای رایج برای توزیع باج‌افزار هستند.
• امنیت شبکه : برای جلوگیری از دسترسی غیرمجاز، اقدامات امنیتی قوی از جمله فایروال ها را اجرا کنید.
• آموزش کاربر : به کارمندان و کاربران در مورد خطرات باج افزار و انواع دیگر بدافزارها و اهمیت شیوه های آنلاین امن آموزش دهید.
• کنترل‌های دسترسی : دسترسی کاربر به سیستم‌ها و داده‌های حیاتی را تنظیم می‌کند تا تأثیر احتمالی حمله باج‌افزار را به حداقل برساند.

با در نظر گرفتن این اقدامات احتیاطی، کاربران می توانند به طور قابل توجهی شانس ابتلا به باج افزار را کاهش دهند و از داده های ارزشمند خود در برابر مجرمان سایبری محافظت کنند.

متن کامل یادداشت باج به قربانیان باج افزار RADAR به شرح زیر است:

'RADAR

Your network has been breached and all major data were encrypted.
Important files have been downloaded from your servers and are ready to be published on TOR blogs.

To decrypt all the data and prevent exfiltrated files to be disclosed on TOR blogs, dataleak forums, dataleak databases, telegram channels etc with lot of tags/videos on twitter/facebook you should purchase our decryption tool. We will provide you a proof video how our Decryption Tool works.

Please contact our sales department at Skype: [redacted]
We appreciate and respect everyone, that's why in Skype you will get a proof, we will record a video of 5-10 files of your choice.

Follow the guidelines below to avoid losing your data:

Do not modify, rename or delete encrypted files. In result your data will be undecryptable.

Do not modify or rename encrypted files. You will lose them.

Do not report to the Police, FBI, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything and your data, recorded data on videos etc will be published.

Do not hire a recovery company. They can't decrypt files without our Decryption Tool. They also don't care about your business. They believe that they are good negotiators, but it is not. They usually fail. You should contact with us yourself and we'll guarantee you 10077BCB65CA365CF885446C7CB6B4ABA99uccessful decryption without any loss + exfiltrated data erasing from our servers.

Do not reject to purchase RADAR Decryptor from us, otherwise exfiltrated files will be publicly disclosed with video of files.

P.S. Do not repeat the same mistakes as other companies did with us, for example our old case with a small Spain Company: [redacted] Their Website - [redacted]
Our media team published files and videos, because they didn't pay as in time. Small part of proofs:
[redacted]
[redacted]
[redacted]
[redacted]
Lot of telegram channels like [redacted] , [redacted] , all darkweb resources list from here - [redacted]

We have a direct contact with a list of ransomware owners in jabber and tox, you can see all the companies that refused to cooperate with us, TOR/onion URLs: hxxp://xb6q2aggycmlcrjtbj[redacted]sqb4nx6cmod3emy7sad.onion
hxxp://mbrlkbtq5jonaqkurj[redacted]4rgjbkkknndqwae6byd.onion
hxxp://bianlianlbc5an4kgn[redacted]gczopmm3dnbz3uaunad.onion/
hxxp://alphvmmm27o3abo3r2[redacted]5xsj7j7ejksbpsa36ad.onion
htxxp://knight3xppu263m7g4[redacted]h7vjdc3zrscqlfu3pqd.onion/

For [redacted] we hired 3rd party team of data analysts with OSINT-specialists. Because of adding such 3rd parties, the price for Decryption Tool and exfiltrated data erasing has been increased. In result they suffered significant problems due disastrous consequences, leading to loss of valuable intellectual property and other sensitive information, GDPR issues, costly incident response efforts, information misuse/abuse, loss of customer trust, brand and reputational damage, legal and regulatory issues. And it will never end for them, as their files are constantly downloaded and videos are viewed by people from all over the World.
That's why we don't recommend to ignore us.

Let's respect each others time.
With best Regards, RADAR'