باج‌افزار DetoxCrypto به ارسال تصاویر صفحه‌ی نمایش به کارگزار خود می‌پردازد!

یک خانواده جدید از باج‌افزارها که اخیراً مشاهده شده است به ۲ گونه مختلف توزیع و منتشر می‌شود. در یکی از این گونه‌ها این باج‌افزار تصویر صفحه نمایش رایانه‌ی قربانی را گرفته و به کارگزار‌ خود ارسال می‌کند.

به نظر می‌رسد که این باج‌افزار جدید به نام DetoxCrypto بخشی از یک سامانه وابسته باشد که ممکن است در وب تاریک فروخته شود. با توجه به اینکه انواع مختلفی از این باج‌افزار پدیدار شده است، هرکدام از آن‌ها دارای زمینه‌ها و نشانی‌های رایانامه‌ی متفاوتی بوده و ویژگی‌های گوناگونی را دارا هستند. یکی از این گونه‌های مشاهده شده شبیه به یک باج‌افزار عمومی عمل می‌کند (به‌جز در مورد ارسال تصویر صفحه نمایش قربانی) درحالی‌که دیگری رفتاری شبیه به نرم‌افزار PokemonGo دارد.

به گزارش leeping Computer همه‌ی این گونه‌های بدافزاری، از رمزنگاری AES استفاده می‌کنند و می‌توانند روال‌های مرتبط با MySQL و MSSQL را در دستگاه‌های آلوده متوقف کنند.

علاوه بر آن، این گونه‌های بدافزار یک صفحه یادداشت را در صفحه‌ی ورود به رایانه نشان می‌دهند در حالی‌که هم‌زمان یک پرونده صوتی را در صفحه قفل دستگاه پخش می‌کند. این باج‌افزار به قربانیان توصیه می‌کند تا با عوامل پشت پرده خود با استفاده از یک رایانامه تماس برقرار کنند تا بتوانند دوباره به پرونده‌های خود دسترسی پیدا کنند.

آنچه هنوز محققان در مورد این گونه‌های باج‌افزار بیان نکرده‌اند این است که چگونه این بدافزار توزیع و گسترش می‌یابد، و تنها گفته‌اند که از طریق یک پرونده‌ی اجرایی در همه گونه‌های مختلف توزیع می‌شود. این پرونده حاوی چند پرونده‌ی اجرایی و مؤلفه‌های دیگر در درون خود است. هنگامی‌که این پرونده اجرا می‌شود، یک پرونده به نام MicrosoftHost.exe، یک پرونده‌ی صوتی، یک تصویر پس‌زمینه و یک پرونده‌ی اجرایی که برای هرکدام از گونه‌ها متفاوت است از آن استخراج می‌شود.

پرونده اجرایی دوم که استخراج شده است می‌تواند یک صفحه قفل را نمایش داده، پرونده صوتی را پخش کرده و درصورتی‌که رمز عبور صحیح وارد شود، پرونده‌های قفل شده را رمزگشایی کند. این همان پرونده‌ای است که میان گونه‌های مختلف باج‌افزار به اشکال مختلفی متفاوت است و محققان دو نمونه از آن را تاکنون به اسامی Calipso.exe و Pokemon.exe شناسایی کرده‌اند.

گونه‌ی Calipso بعد از اینکه شروع به رمزنگاری پرونده‌های قربانی نمود، چندین پرونده را در مسیر C:\Users\[account_name]\Calipso استخراج می‌کند. هنگامی‌که رمزنگاری پرونده‌های قربانی خاتمه یافت، این بدافزار یک صفحه قفل را نمایش می‌دهد و از قربانی می‌خواهد تا با عوامل آن از طریق نشانی رایانامه‌ی motox۲۰۱۶(at)mail۲tor.com تماس برقرار کند و دستورالعمل‌های پرداخت را دریافت کند.

یکی از ویژگی‌های منحصربه‌فرد این باج‌افزار این است که از صفحه‌ی نمایش رایانه‌ی قربانی عکس می‌گیرد و آن را به توسعه‌دهنده‌ی خود ارسال می‌کند. محققان بر این باور هستند که عوامل این باج‌افزار به دنبال این هستند که درصورتی‌که این تصاویر صفحه نشان‌دهنده‌ی محتوای ارزشمندتری بود، قیمت باج دریافتی را افزایش دهند.

گونه‌ Pokemon نیز با اجرای پرونده‌ی Pokemon.exe توزیع و اجرا می‌شود و پرونده‌های خود را در مسیر پوشه‌ی C:\Users\[account_name]\Downloads\Pokemon استخراج می‌کند. پس‌ از آن این بدافزار به رمزنگاری پرونده‌های قربانی پرداخته و یک صفحه‌ی قفل را با عنوان «همه‌ی ما Pokemon هستیم» به نمایش می‌گذارد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.