باج‌افزار CommonRansom برای رمزگشایی فایل‌ها دسترسی RDP درخواست می‌کند

 

باج‌افزار جدیدی با نام CommonRansom شناسایی شده که درخواست‌های عجیب و غریبی از قربانی دارد. پس از پرداخت باج، مهاجم از قربانی درخواست می‌کند تا بر روی سیستم پوردت‌های پروتکل رومیزی راه دور (RDP) را باز کرده و گواهی‌نامه‌های مدیریتی را ارسال کند تا در نهایت آن‌ها فایل‌ها را رمزگشایی کنند. این باج‌افزار پس از رمزنگاری فایل‌ها به انتهای آن‌ها پسوند [old@nuke.africa].CommonRansom را اضافه می‌کند. پیغام باج‌خواهی نیز در ادامه در فایلی با نام DECRYPTING.txt به کاربر نمایش داده می‌شود.


این باج‌افزار پس از دریافت ۰٫۱ بیت‌کوین باج از قربانی درخواست می‌کند تا اطلاعات مانند  شناسه‌ی قربانی، آدرس IP به همراه شماره پورت RDP، گواهی‌نامه‌های حساب کاربری ادمین و زمانی‌که بیت‌کوین به کیف‌پول مهاجم ارسال شده است را به آدرس ایمیل old@nuke.africa ارسال کند. این درخواستی که مهاجمان از قربانیان این باج‌افزار دارند بسیار غیرمنطقی است و نباید کسی آن را قبول کند. چرا که ممکن است آن‌ها فایل‌های قربانی را رمزگشایی کنند ولی در ادامه با اطلاعاتی که بدست آورده‌اند می‌توانند بدافزارهای دیگری را بر روی سیستم نصب کرده و به سرقت اطلاعات او بپردازند. 


محققان امنیتی هنوز نتوانسته‌اند نمونه‌ای از این بدافزار را پیدا کنند ولی در پیغام باج‌خواهی آدرس کیف‌پول ۳۵M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF را مشاهده کردند که نشان می‌دهد با این کیف اخیرا فعالیت‌هایی صورت گرفته است. نکته‌ی قابل توجه دیگری که وجود دارد این است که از این کیف پول ۶۵ بیت‌کوین به آدرس کیف‌پول ۱CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n ارسال شده است. آدرس جدید بیش از ۱۱ هزار آدرس بیت‌کوین به‌عنوان دریافتی داشته است که نشان می‌دهد این آدرس نقش یک میکسر عمل می‌کند تا عملیات پیگیری تراکنش‌های بیت‌کوین را برای نهادهای قضایی سخت‌تر کند.

 

منبع
 

پست‌های مشابه

Leave a Comment