باج‌افزار جدیدی که از DiskCryptor استفاده می‌کند

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

باج‌افزار جدیدی که از DiskCryptor استفاده می‌کند

باج‌افزار جدیدی کشف شده است که DiskCryptor را روی رایانه‌های آلوده نصب و رایانه قربانی را مجدد راه‌اندازی می‌کند. هنگام راه‌اندازی مجدد، قربانیان یک پیغام باج خواهی را مشاهده می‌کنند که به آنها اعلام می‌کند که دیسک حافظه آنها رمزگذاری شده است و نحوه پرداخت باج نیز در آن توضیح داده شده است.
DiskCryptor یک برنامه رمزگذاری است که کل دیسک را رمزگذاری می‌کند و سپس کاربر را وادار می‌کند تا یک گذرواژه در هنگام بارگذاری مجدد وارد کند. فرایند درخواست گذرواژه قبل از بالا آمدن ویندوز انجام می‌شود و کاربر باید گذرواژه را ارائه کند تا فرایند عادی بوت رایانه آغاز شود.
این باج‌افزار که توسط MalwareHunterTeam کشف شده است، بطور دستی یا از طریق یک اسکریپت اجرا می‌شود. احتمالا هکرها از طریق سرویس Remote Desktop وارد سیستم می‌شوند و بصورت دستی باج‌افزار را نصب می‌کنند.
در هنگام فرایند نصب، یک فایل گزارش در آدرس C:\Users\Public\myLog.txt ایجاد می‌شود که مرحله فعلی فرایند رمزگذاری را نشان می‌دهد.

q1080

پس از اینکه کل حافظه رمزگذاری شد، رایانه راه‌اندازی مجدد می‌شود و پیامی برای قربانی نمایش داده می‌شود که در آن آدرس mcrypt۲۰۱۸[at]yandex[dot]com برای دستورالعمل بازیابی اطلاعات ارائه شده است. در این صفحه از کاربر گذرواژه‌ای درخواست می‌شود که تا بازیابی اطلاعات انجام شود.

q1081
این اولین باری نیست که از DiskCryptor در یک باج‌افزار استفاده شده است. در سال ۲۰۱۶ از DiskCryptor در یک عملیات باج‌افزاری با نام HDDCryptor (که با Mamba نیز شناخته می‌شود) استفاده شده است.
در نوامبر سال ۲۰۱۶ تعداد ۲۱۱۲ رایانه متعلق به سیستم راه‌آهن شهری سان فرانسیسکو با باج‌افزار Mamba آلوده شدند. این اتفاق به طور موثر سیستم‌های پرداخت مترو را تعطیل کرد و باعث شد مترو این شهر به صورت رایگان در طول تعطیلات آخر هفته به مسافران خدمت ارائه کند.

منبع:
/https://www.bleepingcomputer.com/news/security/new-ransomware-using-diskcryptor-with-custom-ransom-message

مرجع : مرکز مدیریت راهبردی افتا ریاست جمهوری