باج‌افزار RedEye، بدافزاری برای تخریب کامل کامپیوتر قربانی

 

به‌تازگی باج‌افزار جدیدی شناسایی شده که به نظر می‌رسد هدف آن بجای اینکه فایل‌ها را رمزنگاری کرده و باج درخواست کند، خراب کردن و از بین بردن فایل‌های قربانیان است. این باج‌افزار RedEye نام داشته و به نظر می‌رسد توسط توسعه‌دهندگان باج‌افزارهای Annabelle و JigSaw  توسعه داده شده است. این باج‌افزار جدید مانند دو باج‌افزار دیگر که توسط یک گروه توسعه داده شده‌اند، حتی اگر به هیچ سود و منفعت مالی هم نرسند، در تلاش هستند تا فایل‌های قربانیان را از بین ببرند.


اندازه‌ی این باج‌افزار بسیار زیاد بوده و ۳۵ مگابایت گزارش شده است. بزرگی این بدافزار به دلیل وجود چندین فایل رسانه‌ای است که در باینری آن تعبیه شده است. در بین این فایل‌ها، ۳ فایل با پسوند .wav وجود دارد که هنگام اجرا شدن بدافزار، این فایل‌ها پخش شده و قصد دارد قربانی را بترساند. نویسنده‌ی بدافزار همچنین از روش های مبهم‌سازی ConfuserEx و فشرده‌سازی و دیگر شگردها استفاده کرده تا از فایل باینری باج‌افزار محافظت کند. یک باینری دیگر نیز در باج‌افزار تعبیه شده که قابلیت جایگزینی رکورد بوت اصلی (MBR) در سیستم را دارد.


باج‌افزار زمانی‌که ماشین قربانی را آلوده کرد، برای سخت کردن فرآیند حذف بدافزار، کارهایی را انجام می‌دهد. به طور مثال Task Manager را غیرفعال کرده و درایوهای سیستم را مخفی می‌کند. باج‌افزار در ادامه یک پیغام باج‌خواهی به قربانی نشان داده و به او اطلاع می‌دهد که فایل‌ها با الگوریتم AES256 رمزنگاری شده و برای بازیابی آن‌ها باید به یک وب‌سایت مبتنی بر .onion مراجعه کرده و به آدرس کیف‌پول مشخصی، ۰٫۱ بیت‌کوین واریز کند تا در نهایت بتواند کلید رمزگشایی این فایل‌ها را دریافت کند.


قربانی برای پرداخت این باج فقط ۴ روز مهلت دارد و مهاجم اعلام کرده اگر این مهلت بگذرد، می‌تواند به‌طور کلی کامپیوتر قربانی را از کار بیندازد و تخریب کند. اگر قربانی از بین گزینه‌ها گزینه‌ی آخر را انتخاب کند، یک گیف نمایش داده شده و دکمه‌ی «انجام بده» را مشاهده می‌کند که با کلیک بر روی این دکمه، باج‌افزار سیستم را مجددا راه‌اندازی کرده و MRB جایگزین خواهد شد. 


در ادامه وقتی قربانی سیستم را روشن می‌کند، به او خوشامد گفته شده و اطلاع داده می‌شود که مهاجمان کار کامپیوتر را تمام کرده‌اند. محققان همچنین متوجه شدند که نویسنده‌ی باج‌افزار برای رمزنگاری از AES256 استفاده نکرده و فایل‌ها را بازنویسی کرده و یا با ۰ جایگزین کرده است. باج‌افزار به انتهای فایل‌های رمزنگاری‌شده پسوند .RedEye را اضافه می‌کند.

 

منبع


 

پست‌های مشابه

Leave a Comment