نویسندگی باج‌افزار: کلاهبرداری یا شغلی شریف؛ مساله این است!

کمیته رکن چهارم – به‌نظر می‌رسد حتی نویسندگان باج‌افزار هم علاقه‌ای ندارند که از آنها به‌عنوان کلاهبردار (Scammer) یاد شود!

عصر سه‌شنبه، ۲۶ تیر ماه، نویسندگان باج افزار King Ouroboros با درج توضیحاتی در حساب توییتر چند محقق بدافزار، مراتب اعتراض خود را نسبت به کلاهبرداری خوانده شدن باج‌افزارشان و ادعای رمزگشایی نشدن فایل‌ها حتی در صورت پرداخت مبلغ اخاذی شده اعلام کردند.

این افراد در ادامه به‌نحوی از باج‌افزار خود دفاع کرده‌اند که گویی کاری خیر و از سر لطف برای قربانیانش انجام می‌دهند!

از همان ابتدا، ما به بسیاری از مردم برای حل مشکلاتشان در حوزه بازگردانی فایل‌ها[ی رمز شده توسط باج‌افزار King Ouroboros] کمک و یاری رسانده‌ایم. ما حتی به آنهایی که قادر به اثبات وجود مشکلات مالی خود بوده‌اند تخفیف نیز داده‌ایم.

متن کامل درج شده توسط نویسندگان King Ouroboros به‌شرح زیر است:

We’d like to express ourselves concerning the “scam” accusations being made against us by multiple sites such as pcrisk.com. First of all, you should know all of these sites use templates when posting a new ransomware threat, therefore those “scam” accusations are already there, without them even trying to contact us to prove what they’re saying. From the beginning, we’ve already helped loads of people solving any of their issues regarding the decryption of their files, as well as spending time to code a standalone decryption tool for those who have deleted the original one. We do also provide discounts to those who are able to prove any kind of financial problems they may have. This is all we’re going to say, to believe it or not is up to you, prove us wrong and we’ll shut down the entire operation. Have a great day, King Ouroboros.

شاید با همین دلایل و توجیهات است که بسیاری از نویسندگان باج‌افزار تلاش می‌کنند تا با خاطری آسوده شب ها سر بر بالین بگذارند.

باج‌افزار King Ouroboros یک اسکریپت مبتنی بر AutoIt است که ضمن رمزگذاری فایل‌ها، عبارت king_ouroboros را به انتهای نام فایل‌های رمز شده می‌افزاید.

اطلاعیه باج‌گیری King Ouroboros فایلی با نام README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt است که در آن از قربانی خواسته می‌شود برای دریافت روال پرداخت باج از طریق ایمیل king.ouroboros@protonmail.com یا a@savemyfiles.pw با گردانندگان باج‌افزار تماس حاصل کند.

در King Ouroboros فایلی مشابه شکل زیر جایگزین تصویر پس‌زمینه کاربر می‌شود.

ضمن اینکه پیش از ورود کاربر به سیستم نیز در پیامی مشابه نمونه زیر به او در خصوص رمزگذاری شدن فایل‌ها هشدار داده می‌شود.

انتخاب عبارت orangepresident به‌عنوان نشانی سرور فرماندهی و درج نام Donald President در پنجره مرورگر در زمان باز کردن نشانی این سرور را هم می‌توان نشانه‌ای از بی‌علاقگی نویسندگان King Ouroboros به رییس جمهور فعلی آمریکا دانست.