دو رایانه‌ی دیگر را به باج‌افزار آلوده کرده و کلید رمزگشایی را رایگان دریافت کنید

آیا رایانه‌ی شما به باج‌افزار آلوده شده است؟ برای دریافت کلید رمزگشایی یا باج‌ درخواستی را پرداخت کنید یا ماشین‌های دیگر را آلوده کنید! بله درست می‌شنوید. این روش جدید مهاجمان است که در تهدیدات باج‌افزاری از آن استفاده کرده و آن را «زمان پاپ‌کورن» می‌نامند. این باج‌افزار جدید با نام زمان پاپ‌کورن برای این طراحی شده تا در ازای آلوده کردن ماشین‌های دیگر کلید رمزگشایی را به قربانی بدهد.

این باج‌افزار مشابه باج‌افزارهای دیگر کار می‌کند. تمامی پرونده‌های مورد نظر را رمزنگاری کرده و در ازای رمزگشایی آن‌‌ها از قربانی باج می‌خواهد. در این باج‌افزار گزینه‌ی دیگری نیز در نظر گرفته شده است. مهاجمان برای بازیابی پرونده‌ها پیشنهاد می‌کنند قربانی یا باج درخواستی را پرداخت کند و یا دو نفر دیگر را به این بدافزار آلوده کند.

بدترین جای ماجرا کجاست؟ مهاجمان قربانی را تشویق می‌کنند تا در عرض ۷ روز برای دریافت کلید رمزگشایی ۱ بیت‌کوین را پرداخت کند. کلید رمزگشایی نیز بر روی یک کارگزار راه دور متعلق به توسعه‌دهندگان باج‌افزار ذخیره شده است. اگر باج در مدت زمان مشخص شده پرداخت نشود، بر روی این کارگزار، کلید رمزگشایی حذف شده و بازیابی پرونده‌های رمزنگاری‌شده غیرممکن خواهد بود. ازطرفی با بررسی کد منبع این باج‌افزار می‌توان فهمید که اگر قربانی بیش از ۴ بار کلید رمزگشایی را اشتباه وارد کند، پرونده‌های او حذف خواهد شد.

باج‌افزار «زمان پاپ‌کورن» چگونه کار می‌کند؟
زمانی که رایانه‌ی قربانی به باج‌افزار آلوده شد در مرحله‌ی اول بررسی می‌کند که آیا در حال حاضر باج‌افزار در حال اجرا شدن است یا خیر. اگر پاسخ مثبت بود به فرآیند خود خاتمه می‌دهد.
اگر پاسخ منفی بود، این باج‌افزار شروع به بارگیری تصاویری برای نمایش در پس‌زمینه و رمزنگاری پرونده‌ها با الگوریتم AES ۲۵۶ بیتی می‌کند. به انتهای پرونده‌های رمزنگاری‌شده نیز پسوند kok. یا filock. اضافه می‌شود.

در زمان رمزنگاری پرونده‌ها، باج‌افزار یک صفحه را نمایش می‌دهد تا این‌گونه به نظر برسد که در حال نصب یک برنامه است. به محض اینکه رمزنگاری پرونده‌ها تمام شد، این باج‌افزار دو رشته‌ی base۶۴ را وارون کرده و در قالب پیغام باج‌خواهی در دو پرونده‌ی restore_your_files.html و restore_your_files.txt ذخیره می‌کند و در ادامه به‌طور خودکار پیغام باج‌خواهی HTML را نمایش می‌دهد که در آن از قربانی ۱ بیت‌کوین درخواست شده است.

در این پیام به کاربر گفته شده با آلوده کردن دو نفر دیگر، می‌تواند کلید رمزگشایی را رایگان دریافت کند. اگر آن دو نفر باج را پرداخت کنند، کلید به‌طور رایگان در اختیار قربانی اولیه قرار می‌گیرد. برای انجام این کار نیز، در پیغام باج‌خواهی یک آدرس URL قرار داده شده که به یک پرونده بر روی کارگزار Tor این باج‌افزار اشاره می‌کند.

در زمان اجرای باج‌افزار، یک صفحه‌ی قفل نمایش داده می‌شود که حاوی اطلاعات مختلفی از دستگاه قربانی است. در این پیغام، قربانی فیلدی را مشاهده می‌کند که پس از پرداخت باج و دریافت کلید، می‌تواند برای رمزگشایی پرونده‌ها، کلید را در آن وارد کند.
در کد منبع این باج‌افزار تابعی وجود دارد که به نظر می‌رسد اگر کاربر در این فیلد ۴ بار کلید را اشتباه وارد کند، تمامی پرونده‌های قربانی حذف خواهد شد. در زمان نگارش این خبر، این باج‌افزار در حال توسعه بوده و هنوز اطلاعات دقیقی از آن در دست نیست.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap