باج‌افزار PadCrypt امکان گفت‌وگوی زنده دارد

۱کمیته رکن چهازرم – یک نسخه‌ جدید از باج‌افزار کریپتو به نام PadCrypt با قابلیت‌های گفت‌وگوی زنده عرضه شده است که قربانیان با استفاده از آن می‌توانند با مهاجمان در مورد پرداخت‌ باج و اطلاعات دیگر صحبت کنند.

به گزارش کمیته رکن چهارم،یک نسخه‌ جدید از باج‌افزار کریپتو به نام PadCrypt با قابلیت‌های گفت‌وگوی زنده عرضه شده است که قربانیان با استفاده از آن می‌توانند با مهاجمان در مورد پرداخت‌ باج و اطلاعات دیگر صحبت کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باج‌افزار PadCrypt که به‌وسیله‌ محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانواده‌های باج‌افزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناخته‌شده‌ این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co و cloudnet[.]online از کار افتاده‌اند و بنابراین این باج‌افزار دیگر تهدیدی عمده محسوب نمی‌شود.

اکنون یک باج‌افزار دیگر PadCrypt که به‌نظر می‌رسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».

گفت‌وگوی زنده که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصر‌به‌فرد این باج‌افزار PadCrypt نیست. این بدافزار با یک حذف‌کننده‌ خودکار نیز وارد عمل می‌شود. با این حال این ابزار پرونده‌‌هایی را که به وسیله‌ این بدافزار رمزگذاری شده‌اند، رمزگشایی نمی‌کند.

Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق می‌کند می‌گوید: «قابلیتی نظیر گفت‌وگوی زنده می‌تواند به‌صورت بالقوه میزان پرداخت‌ها را بالا ببرد، چراکه قربانی به این شکل «پشتیبانی» دریافت می‌کند و در فرآیند پیچیده‌ انجام پرداخت راهنمایی می‌شود. ما اکنون یک باج‌افزار را دیده‌ایم که به شما اجازه می‌دهد تا یک پرونده‌‌ اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما می‌بینیم یک باج‌افزار یک حذف‌کننده‌ خودکار را به همراه دارد. به‌محض این‌که این حذف‌کننده‌ خودکار اجرا شود، همه‌ یادداشت‌های این بدافزار و پرونده‌‌هایی که به آلودگی Padcrypt به‌نوعی مربوط می‌شوند از بین می‌برد؛ اما متأسفانه همه‌ پرونده‌ها به‌صورت رمزگذاری شده در جای خود باقی می‌مانند.»

PadCrypt از طریق هرزنامه گسترش می‌یابد. رایانامه‌ حاوی آن شامل یک پیوند به یک پرونده‌ zip است و در بردارنده‌ پرونده‌ای است که تلاش می‌کند خود را به‌عنوان یک پرونده‌‌ پی‌دی‌اف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی می‌کند که این پرونده‌ همان چیزی نیست که خود را معرفی می‌کند. اگر این پرونده‌ اجرا شود بدافزار به همراه یک ابزار گفت‌وگوی زنده و قابلیت حذف خودکار نصب می‌شود.

PadCrypt به بررسی درایورهای سامانه برای انطباق آن‌ها با فهرست پسوندهای تعریف‌شده در خود می‌کند که معمولاً پسوندهای معمول نظیر .doc، jpg، gif و … هستند. این پرونده‌ها با استفاده از AES رمزنگاری می‌شوند و پرونده‌‌های رمزگذاری‌شده با پسوند .enc قرار می‌گیرند. همچنین این باج‌افزار نام‌های پرونده‌‌های رمزگذاری‌شده را در یک پرونده‌‌ متنی text ذخیره می‌کند. PadCrypt علاوه بر این کار نسخه‌های موقت این پرونده‌ها در درایوهای سامانه‌‌های دیگر آسیب‌دیده را پاک می‌کند. درنهایت این بدافزار یک پرونده‌‌ متنی Readme با دستورالعمل نحوه‌ پرداخت باج ایجاد می‌کند.

Abrams می‌گوید: «صفحه‌ این باج‌افزار دستورالعمل‌هایی را نشان می‌دهد که چگونه می‌توان ۳۵۰ دلار یا ۸ بیت‌کوین را از طریق PaySafeCard یا Ukash پرداخت کرد. این دستورالعمل علاوه بر این اظهار می‌دارد که شما ۹۶ ساعت فرصت دارید تا پرداخت را انجام دهید و یا کلید رمز از بین خواهد رفت. در این لحظه، هنوز مشخص نیست که راهی برای رمزگشایی این پرونده‌ها به‌صورت رایگان وجود داشته باشد.»

باج‌افزارها همچنان تهدیدی آزاردهنده برای تجارت هستند. آخرین حمله‌ سطح بالا از این دست در روز جمعه افشا شد که در آن مرکز پزشکی Presbyterian هالیوود اعلام کرد سامانه‌های آن به‌وسیله‌ یک باج‌افزار مورد حمله قرار گرفته و پرونده‌‌های بیماران غیرقابل دسترس شده‌اند. NBC در لس‌‌آنجلس از مقامات بیمارستان نقل می‌کند که فعالیت‌های روزانه آن‌ها تحت تأثیر قرار گرفته است و برخی از بیماران برای مداوا به بیمارستان‌های دیگر فرستاده شده‌اند، زیرا برخی از سامانه‌های حیاتی غیرقابل دسترسی بوده‌اند. NBC می‌گوید که در این بین مهاجمان درخواست بیش از ۳ میلیون دلار را به‌عنوان باج کرده‌اند.

هفته گذشته در کنفرانس تحلیل امنیت آزمایشگاه کسپرسکی، Sergey Lozhkin، محقق امنیتی شرح داد که چگونه او با اجازه‌ مقامات بیمارستان قادر بوده است تا به یک شبکه‌ فناوری بیمارستانی در مسکو از طریق تنظیمات ضعیف مودم‌ وای‌فای آن دسترسی پیدا کند. به این شکل او توانسته است که به رابط مدیریتی ناامنی دسترسی پیدا کند که با استفاده از آن می‌تواند دستگاه‌ها و سامانه‌های پزشکی را در اختیار گیرد که به‌وسیله‌ پزشکان برای تشخیص و درمان استفاده می‌شوند.
مرجع : پایگاه اطلاع‌رسانی پایداری ملی

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Blue Captcha Characters Below.