باجافزار جدیدی به نام ‘Hog’ فایلهای دستگاههای کاربران را رمزگذاری میکند و تنها در صورت پیوستن به سرور Discord توسعهدهنده، آنها را رمزگشایی میکند.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، محققان امنیتی یک رمزگشای در حال توسعه برای باجافزار Hog پیدا کردهاند که قربانیان را مجبور میکند برای رمزگشایی فایلهای خود به سرور Discord مهاجم متصل شوند.
اگر مولفه رمزگذار باجافزار اجرا شود، بررسی میشود که آیا یک سرور Discord خاص وجود دارد یا خیر و در صورت وجود، به رمزگذاری فایلهای قربانیان شروع خواهدشد.
باجافزار هنگام رمزگذاری فایلهای قربانیان، پسوند hog. را همانطور که در زیر نشان داده شده است ضمیمه میکند و به طور خودکار کامپوننت رمزگشایی را استخراج میکند.
باج افزار Hog فایلها را رمزگذاری کرده است
هنگامی که باج افزار رمزگذاری دستگاه را به پایان رساند ، برنامه رمزگشای DECRYPT-MY-FILES.exe را از پوشه Startup ویندوز راه اندازی می کند.
این رمزگشای آنچه را برای قربانیان رخ داده است٬ توضیح می دهد و سپس آنها را وادار می کند که به رمز کاربری Discord خود وارد شوند.
رمزگشای باج افزار Hog
همانطور که در کد منبع زیر نشان داده شده است یک توکن Discord به باجافزار اجازه میدهد تا به عنوان کاربر در API های Discord احراز هویت شود و بررسی کند که آیا آنها به سرور خود متصل هستند یا خیر.
کد منبع بررسی اتصال قربانی به سرور Discord
اگر قربانی به سرور متصل باشد یا سرور وجود نداشته باشد، باجافزار با استفاده از یک کلید استاتیک تعبیه شده در باجافزار، فایلهای قربانیان را رمزگشایی خواهدکرد.
رمزگشایی رایگان باج افزار
اگرچه به نظر میرسد این یک باجافزار در حال توسعه است، اما مشخص است که مهاجمان برای فعالیتهای مخرب شروع به استفاده بیشتر از Discord کردهاند.
یکی دیگر از باجافزارهای معروف به نام Humble اخیراً توسط Trend Micro کشف شد که از یک وب هوک برای ارسال اطلاعات مربوط به قربانیان جدید به سرور Discord مهاجم استفاده میکند.
Discord معمولاً توسط مهاجمان برای توزیع بدافزار یا برداشت دادههای سرقت شده استفاده میشود.
با روی آوردن مهاجمان به Discord، نظارت بر ترافیک Discord برای تهدیدها یا سایر رفتارهای غیرعادی، برای مدیران و ابزارهای امنیتی شبکه بسیار مهم و حیاتی است.
منبع:
دیدگاه شما