باج‌افزار WildFire تحت عنوان باج‌افزار جدید Hades Locker احیاء شده است!

۱۸عوامل باج‌افزار WildFire، باج‌افزاری که اوایل امسال ظاهر شد، بعد از اینکه محققان امنیتی ابزارهای رمزگشایی آن را تهیه کردند، تصمیم گرفته‌اند آن را با نام تجاری جدید ارائه کنند.
جزئیات باج‌افزار WildFire در اواخر ماه آگوست تشریح شد، زمانی که محققان امنیتی کارگزار دستور و کنترل آن را تصاحب کرده و به کلیدهای رمزگشایی آن دست یافتند. قبلاً بسیاری از کاربران باج را پرداخته کرده بودند که تخمین زده می‌شود پرداختی بالغ بر ۸۰ هزار دلار برای عاملان این بدافزار به دنبال داشته باشد.

اگرچه کارگزار دستور و کنترل این بدافزار آلوده شد ولی عوامل پشت آن هنوز دستگیر نشده‌اند و برنامه‌ریزی می‌کنند تا محصول خود را دوباره با نام تجاری Hades Locker برگردانند. علاوه بر این، بدافزار نسخه‌ی جدید با رمزنگاری بهبودیافته وارد عرصه شده است.

به محض اینکه این باج‌افزار بر روی کامپیوتر قربانی اجرا می‌شود، باج‌افزار برای آدرس IP و مکان جغرافیایی قربانی به آدرس http://ip-api(dot)com/xml متصل می‌شود. سپس بدافزار شناسه‌ی منحصربفرد قربانی، شناسه‌ی ردیابی، نام کامپیوتر، نام کاربری، کشور و آدرس IP قربانی را برای یکی از کارگزارهای دستور و کنترل ارسال می‌کند که در پاسخ گذرواژه برای قرآیند رمزنگاری برگردانده می‌شود.
شناسه‌ی قربانی همراه با اطلاعات وضعیتی (فرآیند رمزنگاری انجام شده یا نه) در بخش رجیستری ذخیره می‎شود. باج‌افزار پرونده‌ها با پسوندهای مشخص را در درایوها جستجو کرده و با استفاده از AES آن‌ها را رمزنگاری می‌کند. این باج‌افزار پسوند مشخصی را به پرونده‌های رمزنگاری شده اضافه می‌کند که این پسوند رشته‌ی «HL~.» است که در ادامه‌ی آن نیز ۵ حرف از گذرواژه‌ی رمزنگاری می‌آید.

Hades Locker پرونده‌های متنوعی را هدف گرفته است اما از پرونده‌هایی که در مسیر آن‌ها رشته‌های زیر وجود دارد، صرفنظر می‌کند:
windows, program files, program files (x۸۶), system volume information و $recycle.bin.
این باج‌افزار همچنین رونوشت‌های Shadow Volume را حذف می‌کند تا قربانی از طریق آن‌ها نتواند پرونده‌های خود را بازیابی کند.

پیغام باج‌خواهی که در کامپیوتر قربانی نمایش داده می‌شود، پیوندهایی به وب‌گاه‌های

n۷۴۵۷xrhg۵kibr۲c.onion
http://pfmydcsjib(dot)ru
http://jdybchotfn(dot)ru

دارد که کاربر را تشویق می‌کند تا از این وب‌گاه‌ها برای آگاهی از مقدار باج و نحوه‌ی پرداخت آن، دیدن کنند.

هنگامی که قربانی به این وب‌گاه‌ها متصل می‌شود، در این وب‌گاه‌ها اطلاعاتی در مورد مقدار باج و آدرس بیت‌کوین که باید باج را پرداخت کنند و نحوه‌ی بدست آوردن بیت‌کویت ارائه شده است. این وب‌گاه ظاهراً به شرکت Hades تعلق دارد و از چندین صفحه تشکیل شده است مثل صفحات سؤالات متداول، تست رمزگشایی، بخش کمک‌رسانی و آموزش رمزگشایی.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.