محققان امنیتی هشدار دادند نوع جدیدی از باج افزارهای مبتنی بر NET. کشف شده که از ابزارهای متن باز برای رمزنگاری فایل های قربانیان سوءاستفاده می کنند. این باج افزارها Vortex و BUGWARE نام داشته و در حملات فعال از طریق هرزنامه ها با لینک های مخرب مشاهده شده اند. هر دوی این باج افزارها در زبان سطح میانی مایکروسافت کامپایل شده و با استفاده از ابزار Confuser بسته بندی شده اند.
باج افزار Vortex به زبان لهستانی نوشته شده و از الگوریتم AES-256 برای رمزنگاری اسناد، تصاویر و ویدئوها و سایر دادههای مهم قربانیان استفاده میکند. مانند دیگر باجافزارها، این بدافزار نیز پس از تکمیل فرآیند رمزنگاری، پیغام باجخواهی را نمایش میدهد که قربانیان چطور باج را پرداخت کرده و فایلهای خود را بازیابی کنند.
این باجافزار دوتا از فایلهای قربانی را بهطور رایگان رمزگشایی کرده و ۱۰۰ دلار باج درخواست میکند. در صورتیکه قربانی در عرض ۴ روز، باج را پرداخت نکند، این مقدار به ۲۰۰ دلار افزایش مییابد. قربانیان تشویق شدهاند تا با مهاجمان از طریق آدرس ایمیل Hc9@2.pl or Hc9@goat.si در تماس باشند. باجافزار پس از نصب با ثبت رکورد رجیستری سعی میکند تا به سازوکار ماندگاری بر روی سیستم آلوده برسد و یک کلید رجیستری با نام AESxWin ایجاد میکند.
محققان امنیتی زمانیکه سرور دستور و کنترل متعلق به این باجافزار را بررسی کردند، متوجه شدند باجافزار اطلاعات سیستم را به سرور ارسال کرده و برای دسترسی به واسطهای برنامهنویسی برای رمزنگاری و رمزگشایی فایلها از سرور پسورد درخواست میکند. باجافزار Vortex مبتنی بر یک ابزار متنباز برای رمزنگاری و رمزگشایی فایلها با نام AESxWin است که بر روی گیتهاب وجود داشته و توسط یک توسعهدهندهی مصری طراحی شده است. بهعبارت دیگر اگر پسوردی که برای رمزنگاری استفاده شده است معلوم باشد، با استفاده از AESxWin میتوان فایلها را رمزگشایی کرد.
از سوی دیگر باجافزار BUGWARE مبتنی بر کدهای Hidden Tear است که تاکنون از آن برای نوشتن باجافزارهای مختلفی سوءاستفاده شده است. این بدافزار فهرستی از مسیرها برای رمزنگاری را انتخاب کرده و آنها را در فایلی با نام Criptografia.pathstoencrypt ذخیره میکند. همچنین در سیستم قربانی به دنبال درایوهای ثابت، شبکهای و جداشدنی میگردد و مسیر آنها را به این فایل اضافه میکند.
باجافزار BUGWARE از کلیدها و الگوریتمهای AES با طول ۲۵۶ بیت برای رمزنگاری فایلها استفاده کرده و نام این فایلها را تغییر میدهد. کلیدهای AES مجددا با کلیدهای عمومی RSA رمزنگاری شده و کدشدهی base64 آن در رجیستری ثبت میشود. این باجافزار تصویر پسزمینهی دسکتاپ را با تصویری که از i[.]imgur.com/NpKQ3KZ.jpg دانلود کرده، تغییر میدهد.
