هشدارهای افتایی
باج‌افزار جدیدی تحت عنوان DeathRansom کشف شده که دارای قابلیت رمزگذاری فایل‌ها با استفاده از یک فرایند رمزگذاری مستحکم است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این باج‌افزار توسط پژوهشگران Fortinet کشف شده و توسط یک کارزار توزیع پایدار پشتیبانی می‌شود. در دو ماه گذشته، باج‌افزار DeathRansom بطور روزانه کاربران را مورد هدف قرار داده است.
اولین آلودگی‌های DeathRansom در نوامبر 2019 گزارش شده است. نسخه‌های اولیه این باج‌افزار یک شوخی تلقی می‌شدند. در آن زمان این باج‌افزار صرفاً پسوند فایل‌ها را بدون رمزگذاری آن‌ها، تغییر می‌داد. این کار به جهت فریب کاربر جهت پرداخت مبلغ باج انجام شده است. کاربران تنها با تغییر پسوند فایل‌ها می‌توانستند آن‌ها را بازیابی کنند.
در ادامه، کار روی کد باج‌افزار DeathRansom ادامه پیدا کرد و نسخه‌های جدیدتر آن به یک باج‌افزار واقعی تبدیل شدند. به گفته Fortinet، نمونه‌های جدید DeathRansom از یک ترکیب پیچیده از الگوریتم‌هایی چون Curve25519، Salsa20، RSA-2048، AES-256 ECB و XOR برای رمزگذاری فایل‌ها استفاده می‌کند.
در تصویر زیر فرایند رمزگذاری باج‌افزار DeathRansom نمایش داده شده است:
 
 
علاوه بر تحلیل نسخه‌های جدید باج‌افزار، پژوهشگران امنیتی نویسنده این باج‌افزار را نیز ردیابی کرده‌اند. به گفته پژوهشگران Fortinet، نویسنده این باج‌افزار مسئول طیف گسترده‌ای از کارزارهای مخرب سایبری در سال‌های گذشته بوده است.
پیش از توسعه و توزیع باج‌افزار DeathRansom، اپراتور این بدافزار زمان خود را صرف آلوده کردن کاربران توسط چندین سارق گذرواژه از جمله Vidar، Azorult، Evrial و 1ms0rryStealer، و همچنین کاوش‌گرهای رمزارز مانند SupermeMiner کرده است. به نظر می‌رسد که نویسنده DeathRansom سال‌ها در آلوده‌سازی کاربران به بدافزارها، استخراج نام‌های کاربری و گذرواژه آن‌ها از مرورگرها و سرقت شده اطلاعات احرازهویت آنلاین فعالیت داشته است.
 در حال حاضر باج‌افزار DeathRansom از طریق ایمیل‌های فیشینگ در حال توزیع است. نشانه‌های آلودگی (IoC) این باج‌افزار موارد زیر هستند:
هش:
​•    7c2dbad516d18d2c1c21ecc5792bc232f7b34dadc1bc19e967190d79174131d1
•    ab828f0e0555f88e3005387cb523f221a1933bbd7db4f05902a1e5cc289e7ba4
•    05b762354678004f8654e6da38122e6308adf3998ee956566b8f5d313dc0e029
•    0cf124b2afc3010b72abdc2ad8d4114ff1423cce74776634db4ef6aaa08af915
•    13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1
•    2b9c53b965c3621f1fa20e0ee9854115747047d136529b41872a10a511603df8
•    4bc383a4daff74122b149238302c5892735282fa52cac25c9185347b07a8c94c
•    6247f283d916b1cf0c284f4c31ef659096536fe05b8b9d668edab1e1b9068762
•    66ee3840a9722d3912b73e477d1a11fd0e5468769ba17e5e71873fd519e76def
•    dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4
•    f78a743813ab1d4eee378990f3472628ed61532e899503cc9371423307de3d8b
•    fedb4c3b0e080fb86796189ccc77f99b04adb105d322bddd3abfca2d5c5d43c8
•    a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284
•    e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06
•    1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251
آدرس اینترنتی:
​•    iplogger[.]org/1Zqq77
•    bitbucket[.]org/scat01/ 
•    scat01.mcdir[.]ru
•    gameshack[.]ru
•    scat01[.]tk

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.