بررسیهای اولیه روی
مایکل گیلزپای، سازنده سرویس شناسایی باجافزار ID Ransomware، بهتازگی نمونهای جدید از یک فایل رمزگذاری شده به همراه یادداشت باجافزار دریافت کرده است که برخلاف سایر نمونه فایلهای رمزگذاری شده توسط باجافزارهای موجود، درخواستی عجیب و مشکوکی از قربانیان خود دارد.
به گفته گیلزپای، باجافزار CommonRansom احتمالا پس از آلوده کردن دستگاه قربانیان، فایلی متنی با نام DECRYPTING.txt از خود به جای میگذارد که در آن، مهاجمان فرصتی ۱۲ ساعته برای پرداخت ۰.۱ بیتکوین، به همراه ارسال اطلاعات زیر را تنها راه جلوگیری از حذف اطلاعات اعلام میکنند.
۱- شناسه دستگاه آلوده
۲- آدرس آیپی دستگاه آلوده و فعال کردن RDP برای اتصال کنترل از راه دور
۳- نام کاربری (با سطح دسترسی مدیریتی) و کلمه عبور دستگاه
این درخواست از آنجایی عجیب است که مهاجمان، بجز درخواست بیتکوین به عنوان باج، از قربانیان خود میخواهند که اطلاعات دستگاه آلوده برای اتصال کنترل از راه دور (Remote Desktop) بههمراه مشخصات کاربری را به آنها ارسال کنند. اطلاعاتی که به مهاجمان امکان آلوده کردن دستگاه قربانی به بدافزار و جاسوسافزار، همینطور سرقت و حذف اطلاعات و… را فراهم میسازد.
هرچند تا امروز محققان نمونهای از فایل اصلی باجافزار CommonRansom را مشاهده نکردهاند، اما بررسی آدرس کیفپول سازندگان آن نشان میدهد که اخیرا آنها در حدود ۶۵ بیتکوین به یک آدرس کیف پول دیگر ارسال کردهاند که بیش از ۱۱ هزار تراکنش داشته و احتمالا از آن، برای مخدوشسازی ردپاهای خود استفاده میکنند.
توضیحات بیشتر در:
- CommonRansom Ransomware Demands RDP Access to Decrypt Files