کد QR مطلبدریافت صفحه با کد QR

باج‌افزاری که ایران را هدف گرفته است

17 خرداد 1402 ساعت 10:29

باج‌افزار جدیدی به نام ALC کشورهایی مانند ایران را به‌عنوان یکی از اهداف اصلی خود انتخاب کرده است.


باج‌افزار جدیدی به نام ALC کشورهایی مانند ایران را به‌عنوان یکی از اهداف اصلی خود انتخاب کرده است.
 
به گزارش افتانا به نقل از فورتی‌نت، ALC باج‌افزاری است که اخیراً در جهان کشف شده است و کشورهایی نظیر روسیه و ایران جزو اهداف اصلی آن هستند. فورتی‌گارد لبز این باج افزار را تجزیه و تحلیل کرد و دریافت که بسیار فراتر از آن چیزی است که به نظر می‌رسد.
 
بر اساس این گزارش، اطلاعاتی در مورد فایل مورد استفاده برای انتقال باج‌افزار توسط این گروه در حال حاضر در دسترس نیست. با این حال، احتمالاً تفاوت قابل توجهی با سایر گروه‌های باج‌افزاری ندارد.
 
هنگامی که باج‌افزار ALC اجرا می شود، چندین فایل روی دسکتاپ دستگاه قربانی ایجاد می‌کند. توجه داشته باشید که برخی از نمونه‌های باج‌افزار ALC فایل AlcDif.exe نشان داده شده در تصویر زیر را ایجاد نمی‌کنند.
 
فایل‌های ایجاد شده روی دسکتاپ توسط باج‌افزار ALC
 
فایل RUS!.txt یک یادداشت باج است که حاوی پیامی با انتخاب کلمات نادرست است و نشان می‌دهد زبان مادری نویسندگان آن انگلیسی نیست. به عنوان مثال، «Decrypted» احتمالا به معنای «Encrypted» است و چندین غلط املایی در آن دیده می‌شود. بر اساس یادداشت باج، باج‌افزار ALC «روسیه و همتایان آن» را هدف قرار می‌دهد که ممکن است چین، ایران، بلاروس و دیگران را دربرگیرد.
 
در این اطلاعیه از قربانی خواسته شده است که در تلگرام با مهاجم تماس بگیرد؛ با این حال، اطلاعات تماس یا میزان باج مطالبه شده در اطلاعیه باج‌گیری ارائه نشده است.
 
اطلاعیه باج‌افزار ALC
 
برخی از نمونه‌های باج‌افزار ALC یک فایل اجرایی به نام AlcDif.exe ایجاد می‌کنند که برای ایجاد یک اطلاعیه باج‌گیری پیچیده‌تر استفاده می‌شود. هنگامی که باج‌افزار فایل AlcDif.exe را اجرا می‌کند، تصویری تمام‌صفحه کل دسکتاپ را می‌پوشاند. محتوای آن نیز سعی در ترساندن قربانیان دارد. اگر قربانی از چندین نمایشگر استفاده کند، تصویر فقط در نمایشگر اصلی نمایش داده می‌شود. این فایل همچنین منجر به قطع و وصل شدن Task Manager می‌شود؛ وقتی فایل برای اولین بار اجرا می‌شود، Task Manager غیرفعال می‌شود، اما اجرای دوباره آن Task Manager را دوباره فعال می‌کند.
 
نمونه‌ای از تصویر نمایش داده شده توسط AlcDif.exe در زیر قابل مشاهده است:
 
باج‌افزار ALC
 
برخلاف یادداشت باج در فایل متنی، این صفحه باج یک آدرس تماس، اطلاعات کیف پول رمزنگاری مهاجم، قیمت باج و یک شناسه منحصر به فرد اختصاص داده شده به قربانی را ارائه می‌دهد. با این حال، صفحه باج فاقد انسجام است زیرا کیف پول رمزنگاری ارائه شده وجود ندارد و کد QR کار نمی‌کند. همچنین، صفحه باج یک باج به قیمت 554 مونرو (Monero) ( به ارزش بیش از 80 هزار دلار با نرخ 27 فوریه) را طلب می‌کند.
 
مهم‌تر از همه، باج‌افزار ALC هیچ فایلی را رمزگذاری نمی‌کند و می‌شود آن را بیشتر به عنوان یک ترس‌افزار طبقه‌بندی کرد. با این حال، باج‌افزار رمزنگاری را راه‌اندازی می‌کند (یک مقدار تصادفی تولید می‌کند، آن را هش می‌کند، یک شی رمز GO برای AES ایجاد می‌کند، کلید AES را با استفاده از کلید عمومی RSA رمزگذاری‌شده رمزگذاری می‌کند و کلید رمزگذاری شده را در یک فایل ALCKEY می‌نویسد.)
 
باج‌خواهی باج‌افزار ALC
 
این باج‌افزار فایل‌ها را در دستگاه در معرض خطر قرار داده و فهرستی از آن فایل‌ها را در یک فایل متنی جداگانه برای هر درایو یافت شده ذخیره می‌کند. (یعنی «C.txt» حاوی فهرستی از فایل‌های موجود در درایو C است) این شواهد ما را به دو نتیجه ممکن می‌رساند: یا مهاجم سعی می‌کند از قربانیان پول بگیرد زیرا به خوبی می‌داند که برنامه فایل‌ها را رمزگذاری نمی‌کند، یا برنامه هنوز در نسخه بتا است.
 
منبع: Fortinet


کد مطلب: 20915

آدرس مطلب :
https://www.aftana.ir/news/20915/باج-افزاری-ایران-هدف-گرفته

افتانا
  https://www.aftana.ir