Yashma Ransomware

تهدید باج‌افزار Yashma یک بدافزار قوی است که می‌تواند داده‌های ذخیره شده در دستگاه‌های نقض شده را خراب کند. با این حال، هنگامی که کارشناسان infosec این باج افزار را تجزیه و تحلیل کردند، متوجه شدند که این باج افزار کاملا منحصر به فرد نیست. در واقع، برعکس است، و به نظر می‌رسد که باج‌افزار Yashma یک تغییر نام تجاری دیگر از بدنام Chaos Ransomware Builder باشد. به طور دقیق تر، یاشما نسخه ششم این سازنده تهدید کننده است.

به این ترتیب، این تهدید قابلیت‌های گسترده قبلی خود را حفظ کرده است. یاشما می تواند فایل های بزرگ (بیش از 2 مگابایت) را بدون به خطر انداختن داده های داخل آنها رمزگذاری کند. در مورد الگوریتم رمزگذاری آن، این تهدید از AES-256 استفاده می کند که بازیابی فایل های قفل شده بدون کلیدهای رمزگشایی لازم را عملا غیرممکن می کند. مجرمان سایبری که مایلند انواع تهدیدات خود را ایجاد کنند، می توانند چندین گزینه مختلف را در سازنده تنظیم کنند. آن‌ها می‌توانند یادداشت‌های باج‌گیری سفارشی خود را ایجاد کنند، تصویر زمینه دسکتاپ جدیدی را روی دستگاه نقض شده تنظیم کنند، پسوندهای فایل خاصی را برای رمزگذاری انتخاب کنند، تهدید را از طریق اتصالات شبکه منتشر کنند، پسوند فایل خود را برای علامت‌گذاری فایل‌های رمزگذاری‌شده انتخاب کنند، Task Manager را غیرفعال کنند و موارد دیگر. .

آنچه Yashma در عملکرد گسترده به خود می بالد شامل دو پیشرفت عمده است. ابتدا، اکنون می‌توان به تهدید دستور داد تا زمانی که روی سیستم‌ها از یک مکان خاص شروع می‌شود، اجرای خود را متوقف کند. تهدید این عامل را با بررسی زبان پیش فرض دستگاه تعیین می کند. این ویژگی اغلب توسط اپراتورهای باج‌افزار استفاده می‌شود تا مانع از تأثیر مخاطره‌آمیز آنها بر کاربران کشورشان و جلب توجه مقامات محلی شود.

دومین ویژگی موجود در Yashma شامل توانایی تهدید برای متوقف کردن سرویس‌های مختلف در حال اجرا در دستگاه قربانی است. بر اساس گزارشی از محققان تیم تحقیقات و اطلاعات بلک بری که کل تاریخچه توسعه Chaos Ransomware Builder را تجزیه و تحلیل کردند، Yashma عمدتاً خدمات مرتبط با راه‌حل‌های AV (آنتی ویروس) و همچنین خدمات پشتیبان‌گیری، خزانه و ذخیره‌سازی را هدف قرار می‌دهد.