باجافزار جدیدی به نام ALC کشورهایی مانند ایران را بهعنوان یکی از اهداف اصلی خود انتخاب نگرفته است.
به گزارش افتانا به نقل از فورتینت، ALC باجافزاری است که اخیراً در جهان کشف شده است و کشورهایی نظیر روسیه و ایران جزو اهداف اصلی آن هستند. فورتیگارد لبز این باج افزار را تجزیه و تحلیل کرد و دریافت که بسیار فراتر از آن چیزی است که به نظر میرسد.
بر اساس این گزارش، اطلاعاتی در مورد فایل مورد استفاده برای انتقال باجافزار توسط این گروه در حال حاضر در دسترس نیست. با این حال، احتمالاً تفاوت قابل توجهی با سایر گروههای باجافزاری ندارد.
هنگامی که باجافزار ALC اجرا می شود، چندین فایل روی دسکتاپ دستگاه قربانی ایجاد میکند. توجه داشته باشید که برخی از نمونههای باجافزار ALC فایل AlcDif.exe نشان داده شده در تصویر زیر را ایجاد نمیکنند.
فایل RUS!.txt یک یادداشت باج است که حاوی پیامی با انتخاب کلمات نادرست است و نشان میدهد زبان مادری نویسندگان آن انگلیسی نیست. به عنوان مثال، «Decrypted» احتمالا به معنای «Encrypted» است و چندین غلط املایی در آن دیده میشود. بر اساس یادداشت باج، باجافزار ALC «روسیه و همتایان آن» را هدف قرار میدهد که ممکن است چین، ایران، بلاروس و دیگران را دربرگیرد.
در این اطلاعیه از قربانی خواسته شده است که در تلگرام با مهاجم تماس بگیرد؛ با این حال، اطلاعات تماس یا میزان باج مطالبه شده در اطلاعیه باجگیری ارائه نشده است.
برخی از نمونههای باجافزار ALC یک فایل اجرایی به نام AlcDif.exe ایجاد میکنند که برای ایجاد یک اطلاعیه باجگیری پیچیدهتر استفاده میشود. هنگامی که باجافزار فایل AlcDif.exe را اجرا میکند، تصویری تمامصفحه کل دسکتاپ را میپوشاند. محتوای آن نیز سعی در ترساندن قربانیان دارد. اگر قربانی از چندین نمایشگر استفاده کند، تصویر فقط در نمایشگر اصلی نمایش داده میشود. این فایل همچنین منجر به قطع و وصل شدن Task Manager میشود؛ وقتی فایل برای اولین بار اجرا میشود، Task Manager غیرفعال میشود، اما اجرای دوباره آن Task Manager را دوباره فعال میکند.
نمونهای از تصویر نمایش داده شده توسط AlcDif.exe در زیر قابل مشاهده است:
برخلاف یادداشت باج در فایل متنی، این صفحه باج یک آدرس تماس، اطلاعات کیف پول رمزنگاری مهاجم، قیمت باج و یک شناسه منحصر به فرد اختصاص داده شده به قربانی را ارائه میدهد. با این حال، صفحه باج فاقد انسجام است زیرا کیف پول رمزنگاری ارائه شده وجود ندارد و کد QR کار نمیکند. همچنین، صفحه باج یک باج به قیمت ۵۵۴ مونرو (Monero) ( به ارزش بیش از ۸۰ هزار دلار با نرخ ۲۷ فوریه) را طلب میکند.
مهمتر از همه، باجافزار ALC هیچ فایلی را رمزگذاری نمیکند و میشود آن را بیشتر به عنوان یک ترسافزار طبقهبندی کرد. با این حال، باجافزار رمزنگاری را راهاندازی میکند (یک مقدار تصادفی تولید میکند، آن را هش میکند، یک شی رمز GO برای AES ایجاد میکند، کلید AES را با استفاده از کلید عمومی RSA رمزگذاریشده رمزگذاری میکند و کلید رمزگذاری شده را در یک فایل ALCKEY مینویسد.)
این باجافزار فایلها را در دستگاه در معرض خطر قرار داده و فهرستی از آن فایلها را در یک فایل متنی جداگانه برای هر درایو یافت شده ذخیره میکند. (یعنی «C.txt» حاوی فهرستی از فایلهای موجود در درایو C است) این شواهد ما را به دو نتیجه ممکن میرساند: یا مهاجم سعی میکند از قربانیان پول بگیرد زیرا به خوبی میداند که برنامه فایلها را رمزگذاری نمیکند، یا برنامه هنوز در نسخه بتا است.
منبع : افتانا