باج افزار RedEye چیست ؟

Telegram_GEEKBOY

به‌تازگی باج‌افزار جدیدی شناسایی شده که به نظر می‌رسد هدف آن بجای رمزنگاری فایل ها و درخواست باج ، خراب کردن و از بین بردن فایل‌های قربانیان است . این باج‌افزار RedEye نام داشته و به نظر می‌رسد توسط توسعه‌دهندگان باج‌افزارها Annabelle و JigSaw توسعه داده شده است .

این باج‌افزار جدید مانند دو باج‌افزار دیگر که توسط یک گروه توسعه داده شده‌اند، حتی اگر به هیچ سود و منفعت مالی هم نرسند، در تلاش هستند تا فایل‌های قربانیان را از بین ببرند.

اندازه‌ی این باج‌افزار بسیار زیاد بوده و ۳۵ مگابایت گزارش شده است.

بزرگی این بدافزار به دلیل وجود چندین فایل رسانه‌ای است که در باینری آن تعبیه شده است . در بین این فایل‌ها، ۳ فایل با پسوند. wav وجود دارد که هنگام اجرا شدن بدافزار، این فایل‌ها پخش شده و قصد دارد قربانی را بترساند. نویسنده‌ی بدافزار همچنین از روش های مبهم‌سازی ConfuserEx و فشرده‌سازی و دیگر شگردها استفاده کرده تا از فایل باینری باج‌افزار محافظت کند. یک باینری دیگر نیز در باج‌افزار تعبیه شده که قابلیت جایگزینی رکورد بوت اصلی (MBR) در سیستم را دارد .

باج‌افزار زمانی‌که ماشین قربانی را آلوده کرد، برای سخت کردن فرآیند حذف بدافزار، کارهایی را انجام می‌دهد ، به طور مثال Task Manager را غیرفعال کرده و درایوهای سیستم را مخفی می‌کند . باج‌افزار در ادامه یک پیغام باج‌خواهی به قربانی نشان داده و به او اطلاع می‌دهد که فایل‌ها با الگوریتم AES256 رمزنگاری شده و برای بازیابی آن‌ها باید به یک وب‌سایت مبتنی بر .onion مراجعه کرده و به آدرس کیف‌پول مشخصی، ۰٫۱ است.

قربانی برای پرداخت این باج فقط ۴ روز مهلت دارد و مهاجم اعلام کرده اگر این مهلت بگذرد، می‌تواند به‌طور کلی کامپیوتر قربانی را از کار بیندازد و تخریب کند . اگر قربانی از بین گزینه‌ها گزینه‌ی آخر را انتخاب کند، یک گیف نمایش داده شده و دکمه‌ی « انجام بده » را مشاهده می‌کند که با کلیک بر روی این دکمه، باج‌افزار سیستم را مجددا راه‌اندازی کرده و MRB جایگزین خواهد شد .

 

در ادامه وقتی قربانی سیستم را روشن می‌کند، به او خوشامد گفته شده و اطلاع داده می‌شود که مهاجمان کار کامپیوتر را تمام کرده‌اند .محققان همچنین متوجه شدند که نویسنده‌ی باج‌افزار برای رمزنگاری از AES256 استفاده نکرده و فایل‌ها را بازنویسی کرده و یا با ۰ جایگزین کرده است .

باج‌افزار به انتهای فایل‌های رمزنگاری‌شده پسوند .RedEye را اضافه می‌کند .

اگر شما نیز به رشد دانش خود و به اشتراک گزاری آن با دیگران علاقه مندید می توانید به ما بپیوندید

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.