باج‌افزاری جدید با رفتاری متفاوت

باج‌افزار جدیدی به نام ‘Hog’ فایل‌های دستگاه‌های کاربران را رمزگذاری می‌کند و تنها در صورت پیوستن به سرور Discord توسعه‌دهنده، آن‌ها را رمزگشایی می‌کند.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، محققان امنیتی یک رمزگشای در حال توسعه برای باج‌افزار Hog  پیدا کرده‌اند که قربانیان را مجبور می‌کند برای رمزگشایی فایل‌های خود به سرور Discord مهاجم متصل شوند.
اگر مولفه رمزگذار باج‌افزار اجرا شود، بررسی می‌شود که آیا یک سرور Discord خاص وجود دارد یا خیر و در صورت وجود، به رمزگذاری فایل‌های قربانیان شروع خواهدشد.
باج‌افزار هنگام رمزگذاری فایل‌های قربانیان، پسوند hog. را همانطور که در زیر نشان داده شده است ضمیمه می‌کند و به طور خودکار کامپوننت رمزگشایی را استخراج می‌کند.

                   باج افزار Hog فایل‌ها را رمزگذاری کرده است


هنگامی که باج افزار رمزگذاری دستگاه را به پایان رساند ، برنامه رمزگشای DECRYPT-MY-FILES.exe را از پوشه Startup ویندوز راه اندازی می کند.
این رمزگشای آنچه را برای قربانیان رخ داده است٬ توضیح می دهد و سپس آنها را وادار می کند که به رمز کاربری Discord خود وارد شوند.

رمزگشای باج افزار Hog


همانطور که در کد منبع زیر نشان داده شده است یک توکن Discord به باج‌افزار اجازه می‌دهد تا به عنوان کاربر در API های Discord احراز هویت شود و بررسی کند که آیا آن‌ها به سرور خود متصل هستند یا خیر.

کد منبع بررسی اتصال قربانی به سرور Discord

  
اگر قربانی به سرور متصل باشد یا سرور وجود نداشته باشد، باج‌افزار با استفاده از یک کلید استاتیک تعبیه شده در باج‌افزار، فایل‌های قربانیان را رمزگشایی خواهدکرد.

    رمزگشایی رایگان باج افزار


اگرچه به نظر می‌رسد این یک باج‌افزار در حال توسعه است، اما مشخص است که مهاجمان برای فعالیت‌های مخرب شروع به استفاده بیشتر از Discord کرده‌اند.
یکی دیگر از باج‌افزارهای معروف به نام Humble اخیراً توسط Trend Micro کشف شد که از یک وب هوک برای ارسال اطلاعات مربوط به قربانیان جدید به سرور Discord مهاجم استفاده می‌کند.
Discord  معمولاً توسط مهاجمان برای توزیع بدافزار یا برداشت داده‌های سرقت شده استفاده می‌شود.
با روی آوردن مهاجمان  به Discord،  نظارت بر ترافیک Discord برای تهدیدها یا سایر رفتارهای غیرعادی، برای مدیران و ابزارهای امنیتی شبکه بسیار مهم و حیاتی است.

منبع:

https://www.bleepingcomputer.com/news/security/new-ransomware-only-decrypts-victims-who-join-their-discord-server/

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.