کمیته رکن چهارم – باج افزار Halloware به عنوان یکی از مخربترین باج افزارهای فعال به شمار میرود که در حال حاضر در فضای دارک وب با ارزش ۴۰ دلار به فروش میرسد.
بر اساس فعالیتهای کارشناسان موسسه امنیتی Bleeping Computer بررسیها نشان میدهد این روزها باج افزار Halloware در محیط دارک وب با ارزش ۴۰ دلار به فروش میرود. بررسیها نشان میدهد مهاجم این باج افزار کسی نیست جز دانشآموز ۱۷ ساله هندی که فعالیت خود را پیش میبرد. این در حالی است که مهاجمان برای انتشار باج افزار خود در دارک وب فعالیت های این باج افزار را گسترش داده است. در این میان کارشناسان پس از بررسی های خود در مورد باج افزار نام برده اینگونه اعلام کردند که این فعالیتها با توجه به ارزش کم ممکن است کلاهبرداری باشند.
باج افزار Halloware
پس از بررسیهای صورت گرفته مشخص شد باج افزار Halloware با استفاده از فایل hmavpncreck.exe و یک کد هش SHA256 فعالیت خود را پیش میبرد. تحقیقات نشان میدهد که باج افزار نامبرده با فعالیت خود را با استفاده از کدهای مختلفی پیش میبرد که به نظر میرسد فایل ran.py به عنوان یکی از منابع این باج افزار به شمار میرود.
فعالیت باج افزار به این صورت است که فایلهای دریافتی را با استفاده از پروتکل رمزگذاری AES-256 رمزگذاری کرده و به سرور مرکزی خود ارسال میکند.
هنگامیکه باج افزار Halloware فرایند رمزگذاری را به اتمام رساند، پنجرهای را نشان میدهد که یک دلقک با یک پیام جنجالی حاوی دستورالعمل برای پرداخت جبران خسارت و رمزگشایی دادهها ظاهر میشود که بهعنوان تصویر زمینه دسکتاپ قربانی انتخابشده و از کاربر درخواست باج میکند.
کارشناسان پس از بررسی باج افزار نامبرده اینگونه اعلام کردند که باج افزار با استفاده از یک کلید AES سختافزاری، اطلاعات به سرقت رفته را در سرور مرکزی ذخیره نمیکند و این قابلیت یا ویژگی باعث میشود که نرمافزار مخرب برای مهاجمان زیرزمینی مناسب نباشد.
بررسیهای اخیر کارشناسان Bleeping Computer نشان میدهد Luc1F3R سازنده این باج افزار است که بسیاری از فعالیتهای خود را در فضای یوتیوب منتشر کرده است و همچنین برخی از فعالیتهای خود را در GitHub منتشر کرده است که شامل چهار بخش زیر است.
• A Batch-based ransomware
• A Windows keylogger
• A Linux keylogger
• A bulk spoofed email sender
منبع : سایبربان
