باج افزار FTCODE

باج افزار FTCODE

نمونه هایی از باج افزار از سال ۲۰۱۳ وجود دارد و اخیرا ً نیز در سپتامبر ۲۰۱۹ مشاهده شد. محققان می گویند نسخه های جدید این باج افزار اکنون قصد سرقت مدارک از Internet explorer،Moliza FireFox،  Google Chromeو همچنین مشتری های ایمیل موزیلا تاندربرد و  Microsoft Outlookرا دارند.

زنجیره حمله برای FT CodeE قبلاً با ارسال ایمیل اسپم به قربانیان حاوی اسناد مخرب آغاز شد ، که با کلیک بر روی فایل آلوده به باج افزار ، بارگیری می شود. با این حال ، در حملات اخیر ، مجرمان سایبری مشغول ارسال پیوند قربانیان به VBScriptts می باشند ، کهFTCODE  را بارگیری می کند. هنگامی که یک کاربر VBScript را اجرا کرد ، به نوبه خود یک اسکریپت PowerShell را اجرا می کند ، که در آنصورت یک تصویر مخرب را دانلود و باز می کند (در پوشه٪ temp٪ ذخیره می شود).

 

این تصویر ، که در خصوص مطالبات پرداختی  (تصویری با عنوان “Dettaglio dei costi” به زبان ایتالیایی ، “جزئیات هزینه” که به زبان های مختلف نیز ترجمه شده است) ، تلاش می کند تا کاربران را متقاعد کند که آنها فقط یک تصویر را دریافت کرده اند. با این حال ، در پس زمینه ، باج افزار بارگیری و در مسیر ویندوزی %Public%\Libraries\WindowsIndexingService.vbs ذخیره شده است.

همچنین باج افزار FTCode از طریق ایمیل های اسپم حاوی اسناد Word مخرب استتار شده به عنوان فاکتور ، اسکن اسناد و رزومه به رایانه قربانیان خود وارد می شود که باعث می شود دانلود بدافزار JasperLoader را انجام داده و سپس تمامی فایل های موجود در سیستم را رمزگذاری کند.

پس از آن ، باج افزار همه درایوهای با حداقل ۵۰ KB فضای آزاد را جستجو می کند و رمزگذاری پرونده ها با پسوندهای مختلف را آغاز می کند.

در مرحله بعدی ، باج افزار همچنین محیط بازیابی ویندوز را غیر فعال می کند و Shadow Volume Copies و پشتیبان گیری از Windows را حذف می کند تا بازیابی داده ها بدون پرداخت باج غیرممکن شود.

این باج افزار پس از بارگیری ، اطلاعات تاریخچه را از Internet Explorer می گیرد و اعتبار اطلاعات ذخیره شده (نام کاربری/پسورد-اطلاعات حساب بانکی) را از اطلاعات موجود در رجیستری زیر رمزگشایی و سرقت می کند: (HKCU:\Software\Microsoft\Internet Explorer\IntelliForms\Storage2).

برای Mozilla Firefox و Thunderbird ، اسکریپت مخرب چهار مسیر را بررسی می کند و هرگونه اعتبار در آنها را سرقت میکند:

SystemDrive\Program Files\Mozilla Firefox,

SystemDrive\Program Files\Mozilla Thunderbird,

SystemDrive\Program Files (x86)\Mozilla Firefox,

SystemDrive\Program Files (x86)\Mozilla Thunderbird.

در Google Chrome از مسیر زیر اطلاعات را سرقت میکند:

\%UserProfile%\AppData\Local\Google\Chrome\User Data\*\Login Data

در آخر، مهاجمان مبالغ بالای ۵۰۰ دلار باج جهت تحویل رمزگشای فایل ها را از قربانیان خود می خواهند ، با این حال ،گزارش هایی مبنی بر پرداخت باج و عدم دریافت رمزگشایی وجود داشته است.

مترجم:مهیار ذوالفقاری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *