هدف از باج افزار NamPoHyu سرورهای Samba Remote است

هدف از باج افزار NamPoHyu سرورهای Samba Remote است

یک خانواده جدید از باج افزار به نام NamPoHyu یا MegaLocker کمی متفاوت تر از دیگر باج افزاران قربانیان خود را هدف قرار می دهد. مهاجمان به جای اینکه یک فایل قابل اجرا را بر روی سیستم قربانی اجرا کنند، به صورت لوکالی و ریموت سرورهای سامبا در دسترس را رمزنگاری می کنند.

یک خانواده جدید از باج افزار به نام NamPoHyu یا MegaLocker کمی متفاوت تر از دیگر باج افزاران قربانیان خود را هدف قرار می دهد. مهاجمان به جای اینکه یک فایل قابل اجرا را بر روی سیستم قربانی اجرا کنند، به صورت لوکالی و ریموت سرورهای سامبا در دسترس را رمزنگاری می کنند.

آلودگی های باج افزار به طور معمول بر روی سیستمی که رمزنگاری می شود نصب می شود، چه از طریق سایر بدافزارها، ضمیمه ایمیل های مخرب یا توسط مهاجمانی که یک کامپیوتر یا یک شبکه را هک میکنند.

این باج افزار جدید به وسیله جستجوی سرورهای سامبای در دسترس کارهای متفاوتی انجام می دهد، به دست آوردن کلمه عبور و سپس به صورت ریموت فایل ها را رمزنگاری می کند و یادداشت های باج خواهی را ایجاد می کند.

متاسفانه اهداف زیادی وجود دارد، زیرا Shodan نزدیک به 500.000 سرور سامبا قابل دسترس نشان می دهد.

خبر خوب این است که روش رمزگشایی فایل های رمزنگاری شده توسط این باج افزار ممکن است کشف شود.

ویروس MegaLocker اولین بار در ماه مارس 2019 کشف شد

گزارش ها در مورد این باج افزار اولین بار در ماه مارس 2019 آغاز شد،جایی که کاربران اعلام کردند که دستگاه های ذخیره سازی NAS به طور ناگهانی توسط یک باج افزار به نام MegaLocker رمزنگاری شده اند.

این باج افزار پسوند .crypted را به فایل های رمزنگاری شده اضافه میکند و یک یادداشت باج خواهی به نام !DECRYPT_INSTRUCTION.TXT می سازد.

این یادداشت باج خواهی شامل دستورالعمل برای تماس با Alexshkipper@mail.ru و یکی از عکسهای قربانی در روز تولدش، تعطیلات، سرگرمی ها یا برخی دیگر از رویدادهای شخصی ارسال می کند. اگر بتوانید ثابت کنید که یک شخص هستید مبلغ باج 250 دلار می باشد در غیر این صورت 1000 دلار برای شرکت ها خواهد بود.

یادداشت باج MegaLocker

در حالیکه یک گزارش اظهار داشت که آنها احساس می کنند از طریق FTP آلوده شده اند. چرا که اکثر قربانیان تاکنون دستگاه های NAS بودند، ما به شیوه ای که از طریق سامبا انجام می شود، تکیه می کنم.

در ماه آوریل به ویروس NamPoHyu تغییر یافت

در اوایل ماه آوریل 2019، کاربران گزارش دادند که باج افزار نام خود را به ویروس NamPoHyu تغییر داد و پسوند NamPoHyu. را به فایل های رمز شده اضافه کرد.

توییت MalwareHunterTeam

در حالیکه نام فایل یادداشت باج خواهی به همان صورت باقی می ماند، دستورالعمل در حال حاضر شامل یک لینک برای سایت پرداخت می باشد.

یادداشت باج خواهی ویروس NamPoHyu

هنگامیکه به سایت TOR می روید، قربانیان برای دستورالعمل پرداخت با شناسه باج خواهی که در یادداشت باج وجود دارد به این آدرس alexshkipper@firemail.cc ایمیل می زنند.

دستورالعمل پرداخت TOR

به نظر می رسد مبلغ باج به همان مقدار قبل باقی مانده است یعنی 250 دلار برای اشخاص و 1000 دلار به صورت بیت کوین برای شرکت ها.

همانطور که قبلا گفته شد، ما اعتقاد داریم که ممکن است راهی برای رمزگشایی این فایلها وجود داشته باشد.

چگونه از خود در برابر باج افزار محافظت کنید

به منظور محافظت از خودتان در برابر باج افزار، مهم است که شما از نرم افزار امنیتی استفاده کنید. مهمترین گام این است که همیشه یک بکاپ مورد اعتماد و تست شده از داده های خود داشته باشید که در موارد اضطراری مانند حملات باج افزار، بازگردانید.

شما همچنین باید اطمینان حاصل کنید که هیچ یک از رایانه هایی که سرویس ریموت دسکتاپ فعال دارند به صورت مستقیم به اینترنت وصل نیستند. در عوض کامپیوترهایی که ریموت دسکتاپ فعال دارند و پشت VPN هستند فقط برای کسانیکه حسابهای VPN در شبکه شما دارند قابل دسترس هستند.

به خاطر MegaLocker و NamPoHyu ما هم اکنون می دانیم که باید مطمئن شویم که سرویس هایی مانند FTP یا سامبا نیازمند این هستند که به وسیله پسوردهای قوی محافظت شوند و ترجیحاً در همه موارد به اینترنت دسترسی نداشته باشند.

یک نرم افزار امنیتی خوب که شامل تشخیص رفتاری برای مبارزه با باج افزار باشد و فقط بر اساس Signature یا اکتشافات شناسایی نکند نیز مهم است.

آخرین مطلب اینکه اطمینان حاصل کنید که عادات امنیتی زیر را انجام می دهید که در بسیاری از موارد مهمترین مراحل هم هستند:

  • بکاپ، بکاپ، بکاپ!
  • ضمیمه ایمیل هایی که نمی دانید از طرف چه کسی ارسال شده را باز نکنید.
  • ضمایمی که مطمئن نیستید از طرف شخص واقعی ارسال شده است را باز نکنید.
  • ضمایم ایمیل ها را با ابزاری مانند VirusTotal اسکن کنید.
  • سرویس های ریموت دسکتاپ را مستقیماً به اینترنت وصل نکنید. در عوض، مطمئن شوید که آنها ابتدا فقط از طریق لاگین VPN قابل دسترس باشند.
  • اطمینان حاصل کنید که همه به روز رسانی های ویندوز در اسرع وقت نصب شوند. همچنین مطمئن شوید که همه برنامه ها به ویژه جاوا،فلش وReader Adobe آپدیت باشند. برنامه های قدیمی تر شامل آسیب پذیری های امنیتی معمولاً توسط توزیع کنندگان مخرب مورد استفاده قرار می گیرند. بنابراین مهم است که آنها را به روز نگه دارید.
  • اطمینان حاصل کنید که از نرم افزار امنیتی مناسبی استفاده می کنید که از تشخیص های رفتاری و هوش مصنوعی و لیست سفید استفاده می کند. آنتی ویروس بیت دیفندر امکان فراهم نمودن سطوح مختلف امنیت برای هرگونه پلتفرم را دارد.
  • لیست سفید با اینکه کار دشواری است، اما اگر بتوانید آن را انجام دهید، می تواند بزرگترین سود را داشته باشد.
  • از پسوردهای دشوار استفاده کنید و هرگز پسورد مشابهی را برای چندین سایت استفاده نکنید.
  • بکاپ!

 

متن یادداشت باج خواهی:

What happened to your files ?

All of your files were protected by a strong encryption with AES cbc-128 using NamPoHyu Virus.

 

What does this mean ?

This means that the structure and data within your files have been irrevocably changed,

you will not be able to work with them, read them or see them,

it is the same thing as losing them forever, but with our help, you can restore them.

 

The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.

Your unique id: [id]

 

What do I do ?

You can buy decryption for 1000$.

But before you pay, you can make sure that we can really decrypt any of your files.

 

To do this:

1) Download and install Tor Browser ( https://www.torproject.org/download/ )

2) Open the http://qlcd3bgmyv4kvztb.onion/index.php?id=[id] web page in the Tor Browser and follow the instructions.

 

FAQ:

 

How much time do I have to pay for decryption?

You have 10 days to pay for the ransom after decrypting the test files.

The number of bitcoins for payment is fixed at the rate at the time of decryption of test files.

Keep in mind that some exchangers delay payment for 1-3 days! Also keep in mind that Bitcoin is a very volatile currency,

its rate can be both stable and change very quickly. Therefore, we recommend that you make payment within a few hours.

 

How to contact you?

We do not support any contact.

 

What are the guarantees that I can decrypt my files after paying the ransom?

Your main guarantee is the ability to decrypt test files.

This means that we can decrypt all your files after paying the ransom.

We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.

 

How do I pay the ransom?

After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment.

Depending on your location, you can pay the ransom in different ways.

Use Google to find i

nformation on how to buy bitcoins in your country or use the help of more experienced friends.

Here are some links: https://buy.blockexplorer.com - payment by bank card

https://www.buybitcoinworldwide.com

https://localbitcoins.net

 

How can I decrypt my files?

After confirmation of payment (it usually takes 8 hours, maximum 24 hours)

you will see on this page ( http://qlcd3bgmyv4kvztb.onion/index.php?id=[id] ) a link to download the decryptor and your aes-key

(for this, simply re-enter (refresh) this page a day after payment)

Download the program and run it.

Attention! Disable all anti-virus programs, they can block the work of the decoder!

Copy aes-key to the appropriate field and select the folder to decrypt.

The program will scan and decrypt all encrypted files in the selected folder and its subfolders.

We recommend that you first create a test folder and copy several encrypted files into it to verify the decryption.

 

 

About Bitcoins:

https://en.wikipedia.org/wiki/Bitcoin

About Tor Browser:

https://www.torproject.org

 

منبع: www.bleepingcomputer.com