بررسی‌های اولیه روی

باج‌افزار CommonRansom و درخواست مهاجمان برای دسترسی از راه دور به دستگاه‌های قربانیان

محققان امنیتی به‌تازگی باج‌افزاری با نام CommonRansom شناسایی کرده‌اند که بجز درخواست باج، به‌منظور رمزگشایی اطلاعات، از قربانیان خود می‌خواهد تا مشخصات دسترسی از راه دور به دستگاه آلوده را به مهاجمان ارسال کنند. موردی عجیب و مشکوک که تا به امروز نمونه مشابه آن مشاهده نشده است.

مایکل گیلزپای، سازنده سرویس شناسایی باج‌افزار ID Ransomware، به‌تازگی نمونه‌ای جدید از یک فایل رمزگذاری شده به همراه یادداشت باج‌افزار دریافت کرده‌ است که برخلاف سایر نمونه فایل‌های رمزگذاری شده توسط باج‌افزارهای موجود، درخواستی عجیب و مشکوکی از قربانیان خود دارد.

به گفته گیلزپای، باج‌افزار CommonRansom احتمالا پس از آلوده کردن دستگاه قربانیان، فایلی متنی با نام DECRYPTING.txt از خود به جای می‌گذارد که در آن، مهاجمان فرصتی ۱۲ ساعته برای پرداخت ۰.۱ بیت‌کوین، به همراه ارسال اطلاعات زیر را تنها راه جلوگیری از حذف اطلاعات اعلام می‌کنند.

۱- شناسه دستگاه آلوده

۲- آدرس آی‌پی دستگاه آلوده و فعال کردن RDP برای اتصال کنترل از راه دور

۳- نام کاربری (با سطح دسترسی مدیریتی) و کلمه عبور دستگاه

 

این درخواست از آنجایی عجیب است که مهاجمان، بجز درخواست بیت‌کوین به عنوان باج، از قربانیان خود می‌خواهند که اطلاعات دستگاه آلوده برای اتصال کنترل از راه دور (Remote Desktop) به‌همراه مشخصات کاربری را به آن‌ها ارسال کنند. اطلاعاتی که به مهاجمان امکان آلوده کردن دستگاه قربانی به بدافزار و جاسوس‌افزار، همینطور سرقت و حذف اطلاعات و… را فراهم می‌سازد.

هرچند تا امروز محققان نمونه‌ای از فایل اصلی باج‌افزار CommonRansom را مشاهده نکرده‌اند، اما بررسی آدرس کیف‌پول سازندگان آن نشان می‌دهد که اخیرا آن‌ها در حدود ۶۵ بیت‌کوین به یک آدرس کیف پول دیگر ارسال کرده‌اند که بیش از ۱۱ هزار تراکنش داشته و احتمالا از آن،‌ برای مخدوش‌سازی ردپاهای خود استفاده می‌کنند.

 

 

توضیحات بیشتر در:

- CommonRansom Ransomware Demands RDP Access to Decrypt Files