باج‌افزار PadCrypt مجهز به قابلیت گفت‌وگوی زنده

قفل شده
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

باج‌افزار PadCrypt مجهز به قابلیت گفت‌وگوی زنده

پست توسط saman » دوشنبه ژوئن 06, 2016 3:46 pm

http://padafand.gtc-portal.com/index.as ... sview=8360


باج‌افزار PadCrypt که به وسیله‌ی محقق سوییسی در عنوان abuse.ch کشف شده است یکی از اولین خانواده‌های باج‌افزار است که دارای قابلیت تعامل زنده با مهاجمان است. کارگزارهای شناخته‌شده‌ی این بدافزار annaflowersweb[.]com، subzone۳[.]۲fh[.]co، و cloudnet[.]onlineاز کار افتاده‌اند و بنابراین این باج‌افزار دیگر تهدیدی عمده محسوب نمی‌شود.

اکنون یک باج‌افزار دیگر: PadCrypt؛ که به نظر می‌رسد حتی با قابلیت حذف خودکار وارد شده است «padcryptUninstaller.exe».

گفت‌وگوی زنده، که نیاز به دسترسی به کارگزار کنترل و فرمان این بدافزار دارد تنها قابلیت منحصر‌به‌فرد این باج‌افزار PadCrypt نیست. این بدافزار با یک حذف‌کننده‌ی خودکار نیز وارد عمل می‌شود، با این حال این ابزار پرونده‌‌هایی را که به وسیله‌ی این بدافزار رمزگذاری شده‌اند، رمزگشایی نمی‌کند.

Lawrence Abrams از شرکت Bleeping Computer که در مورد این بدافزار تحقیق می‌کند می‌گوید: «قابلیتی نظیر گفت‌وگوی زنده می‌تواند به صورت بالقوه میزان پرداخت‌ها را بالا ببرد، چرا که قربانی به این شکل «پشتیبانی» دریافت می‌کند و در فرآیند پیچیده‌ی انجام پرداخت راهنمایی می‌شود. ما اکنون یک باج‌افزار را دیده‌ایم که به شما اجازه می‌دهد تا یک پرونده‌‌ی اتوران را برای آن فعال و غیرفعال کنید، اما این اولین موردی است که ما می‌بینیم یک باج‌افزار یک حذف‌کننده‌ی خودکار را به همراه دارد. به محض این‌که این حذف‌کننده‌ی خودکار اجرا شود، همه‌ی یادداشت‌های این بدافزار و پرونده‌‌هایی که به آلودگی Padcrypt به نوعی مربوط می شوند، از بین می‌برد. اما متأسفانه همه‌ی پرونده‌ها به صورت رمزگذاری شده در جای خود باقی می‌مانند.»

PadCrypt از طریق هرزنامه گسترش می‌یابد. رایانامه‌ی حاوی آن شامل یک پیوند به یک پرونده‌ی zip است و در بردارنده‌ی پرونده‌ای است که تلاش می‌کند خود را به عنوان یک پرونده‌ی‌ پی‌دی‌اف به نام DPD_۱۱۳۹۴۰۲۹۳۸۴.pdf.scr معرفی کند. پسوند .scr البته راهنمایی می‌کند که این پرونده‌ همان چیزی نیست که خود را معرفی می‌کند. اگر این پرونده‌ اجرا شود، بدافزار به همراه یک ابزار گفت‌وگوی زنده و قابلیت حذف خودکار نصب می‌شود.

PadCrypt به بررسی درایورهای سامانه برای انطباق آن‌ها با فهرست پسوندهای تعریف‌شده در خود می‌کند، که معمولاً پسوندهای معمول نظیر .doc، jpg، gifو … هستند. این پرونده‌ها با استفاده از AES رمزنگاری می‌شوند و پرونده‌‌های رمزگذاری‌شده با پسوند .enc قرار می‌گیرند. Bleeping Computer می‌گوید، همچنین این باج‌افزار نام‌های پرونده‌‌های رمزگذاری‌شده را در یک پرونده‌ی‌ متنی text ذخیره می‌کند. PadCrypt علاوه بر این کار نسخه‌های موقت این پرونده‌ها در درایوهای سامانه‌‌های دیگر آسیب‌دیده را پاک می‌کند. در نهایت این بدافزار یک پرونده‌ی‌ متنی Readme با دستورالعمل نحوه‌ی پرداخت باج ایجاد می‌کند.

قفل شده

بازگشت به “گفتگوی آزاد”