هشدارهای افتایی
باج‌افزار جدیدی کشف شده است که DiskCryptor را روی رایانه‌های آلوده نصب و رایانه قربانی را مجدد راه‌اندازی می‌کند. هنگام راه‌اندازی مجدد، قربانیان یک پیغام باج خواهی را مشاهده می‌کنند که به آنها اعلام می‌کند که دیسک حافظه آنها رمزگذاری شده است و نحوه پرداخت باج نیز در آن توضیح داده شده است.
DiskCryptor یک برنامه رمزگذاری است که کل دیسک را رمزگذاری می‌کند و سپس کاربر را وادار می‌کند تا یک گذرواژه در هنگام بارگذاری مجدد وارد کند. فرایند درخواست گذرواژه قبل از بالا آمدن ویندوز انجام می‌شود و کاربر باید گذرواژه را ارائه کند تا فرایند عادی بوت رایانه آغاز شود.
این باج‌افزار که توسط MalwareHunterTeam کشف شده است، بطور دستی یا از طریق یک اسکریپت اجرا می‌شود. احتمالا هکرها از طریق سرویس Remote Desktop وارد سیستم می‌شوند و بصورت دستی باج‌افزار را نصب می‌کنند.
در هنگام فرایند نصب، یک فایل گزارش در آدرس C:\Users\Public\myLog.txt ایجاد می‌شود که مرحله فعلی فرایند رمزگذاری را نشان می‌دهد.

 
پس از اینکه کل حافظه رمزگذاری شد، رایانه راه‌اندازی مجدد می‌شود و پیامی برای قربانی نمایش داده می‌شود که در آن آدرس mcrypt2018[at]yandex[dot]com برای دستورالعمل بازیابی اطلاعات ارائه شده است. در این صفحه از کاربر گذرواژه‌ای درخواست می‌شود که تا بازیابی اطلاعات انجام شود.
 

این اولین باری نیست که از DiskCryptor در یک باج‌افزار استفاده شده است. در سال 2016 از DiskCryptor در یک عملیات باج‌افزاری با نام HDDCryptor (که با Mamba نیز شناخته می‌شود) استفاده شده است.
در نوامبر سال 2016 تعداد 2112 رایانه متعلق به سیستم راه‌آهن شهری سان فرانسیسکو با باج‌افزار Mamba آلوده شدند. این اتفاق به طور موثر سیستم‌های پرداخت مترو را تعطیل کرد و باعث شد مترو این شهر به صورت رایگان در طول تعطیلات آخر هفته به مسافران خدمت ارائه کند.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.