کلاهبرداری جدید منجر به آلوده شدن به باج افزار و دزدی اطلاعات می شود.

کلاهبرداری جدید منجر به آلوده شدن به باج افزار و دزدی اطلاعات می شود.

یک سری از وب سایت ها که به شما وعده دریافت روزانه 5 تا 30 دلار به شکل بیت کوین از طریق اجرای برنامه Bitcoin Collector را می دهند، کلاهبرداری هستند. در واقعیت، این برنامه جزء نصب باج افزار یا سرقت پسورد در سیستم قربانی هیچ کاری نمی کند.

یک سری از وب سایت ها که به شما وعده دریافت روزانه 5 تا 30 دلار به شکل بیت کوین از طریق اجرای برنامه Bitcoin Collector را می دهند، کلاهبرداری هستند. در واقعیت، این برنامه جزء نصب باج افزار یا سرقت پسورد در سیستم قربانی هیچ کاری نمی کند.

کلاهبرداری از طریق سایت هایی انجام می شود که وعده می دهند اگر سایتشان را به دیگران معرفی کنید به شما Ethereum می دهند. قسمت سوالات متداول آنها بیان می کند که به ازای 1000 بازدیدی که از طریق لینک شما انجام شود به شما 3 عدد Ethereum به ارزش 750 دلار آمریکا داده می شود.

سایت کلاهبرداری

ادعای کسب Ethereum رایگان واقعی نیست. همانطور که در تصویر بالایی میبینید، آنها تبلیغ می کنند که شما می توانید به صورت رایگان و خودکار 15 تا 45 دلار در بیت کوین به صورت رایگان و اتوماتیک دریافت کنید.

اگر بر روی این کادر کلیک کنید، به یک پیج دیگری می روید که برنامه ای به اسم Bitcoin Collector تبلیغ می کند که هنگام دانلود و اجرا، ظاهراً بیت کوین رایگان برای شما تولید می کند. حتی یک لینک VirusTotal برای نشان دادن اینکه این برنامه برای شما کاملاً امن هستش فراهم می کند ولی با این حال تشخیص درستی روی این برنامه انجام نشده است. این برنامه یک تروجان می باشد که معمولاً یک بارگذاری مخرب را اگر بتواند، اجرا می کند.

کپشن

وقتی شما فایل Zip را دانلود کنید و محتویات آن را استخراج (Extract) کنید، فایل های متعددی از جمله فایل اجرایی BotCollector.exe را به شما می دهد.

آرشیو BotCollector

هنگامیکه شما فایل BotCollector.exe را اجرا می کنید، برنامه ای به نام  Freebitco.in – Bot را اجرا می کند که به نظر نمی رسد که خیلی کار کند. در حقیقت، این یک تروجان هستش که وانمود می کند که بیت کوین می سازد اما به سادگی بارگذار مخرب را اجرا می کند.

Freebitco.in – Bot

هنگامیکه BleepingComputer این تروجان را آنالیز کرد به وضوح مشخص شد که کلیک بر روی Start باعث می شود که این برنامه تقلبی یک مخرب را بارگذاری کند. این برنامه این کار را با کپی کردن یک فایل در geobaze\patch\logo.png و تبدیل کردن به logo.exe همانطور که در عکس زیر میبینید اجرا می کند.

اجرای بارگذاری مخرب

این بارگذاری یک باج افزار یا یک سرقت کننده پسورد می باشد. BleepingComputer هر دو این کمپین ها را اجرا کرده و آنها را به طور خلاصه شرح داده است.

جنبه جالب این کلاهبرداری cryptocurrency این است که مهاجمان در ازای مراجعه کاربران به سایت وعده Ethereum رایگان می دهند و به این ترتیب تروجان BotCollector خود را بارگذاری می کنند تا فرصتی برای آلوده کردن بازدید کنندگان پیدا کنند.

در اصل یک باج افزار را بارگذاری کردند

هنگامیکه Frost این کمپین را کشف کرد، این بارگذاری مخرب یک باج افزار از نوع HiddenTear به نام Ransomware Marozka Tear بود.

رمزگشای Marozka Tear

هنگام اجرا، باج افزار فایل های شما را رمزنگاری می کند و پسوند .Crypted به آنها اضافه می کند و یادداشت باج خواهی به نام HOW TO DECRYPT FILES.txt به صورت زیر نشان می دهد.

یادداشت باج خواهی:

All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.

All encrypted files are formatted .Crypted.

This form files '.Crypted' is a joint development American Hackers.

You can only recover files using a decryptor and password, which, in turn, only we know.

It is impossible to pick it up.

Reinstalling the OS will not change anything.

No system administrator in the world can solve this problem without knowing the password

In no case do not modify the files! But if you want, then make a backup.

Drop us an email at the address india2lock@gmail.com

You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

شما می توانید سورس کد فرآیند رمزنگاری را در زیر مشاهده کنید.

سورس کد فایل های رمزنگاری شده

همانطور که این باج افزار یک نوع از HiddenTear است، کاربران آلوده می توانند فایل های خود را به رایگان با استفاده از رمزگشای Hidden Tear رمز گشایی کنند.

یک تروجان برای سرقت گذرواژه

این کلاهبرداری اکنون بارگذاری خود را به یک تروجان سرقت کننده اطلاعات تغییر داده است. Forest به BleepingComputer گفت که این یک آلوده Baldr است که در حال حاضر 70/32 در VirusTotal تشخیص داده شده است.

در زیر می توانید تروجانی که در حال اتصال به سرورهای فرماندهی و کنترل هست را ببینید.

اتصال به سرور تروجان C2

آلودگی تروجان سرقت کننده پسورد خیلی جدی تر از دو بارگذاری دیگر است زیرا می تواند به مهاجمان دسترسی سرقت گذرواژه و رمز عبور برای سایت هایی که شما بازدید کردید را بدهد، اسکرین شات بگیرد، تاریخچه مرورگر شما را بازیابی کند، فایل ها را از سیستم شما سرقت کنند و حتی کیف پول cryptocurrency شما را به سرقت ببرد.

به این ترتیب، اگر اخیراً با این کلاهبرداری مواجه شدید، شما باید تمام گذرواژه های خود را تغییر دهید، خصوصاً در مورد معاملات بانکی یا مالی.

  • چگونه در برابر باج افزاران در امان باشیم
  •  
  • بکاپ، بکاپ، بکاپ!!!
  • فایل های ضمیمه شده ی ناشناس را باز نکنید
  • فایل های ضمیمه شده را با راهکار امنیتی خود اسکن کنید.
  • از نصب و دریافت تمامی به روز رسانی های ویندوز خود در تاریخ عرضه ی آنان مطمئن باشید! همچنین از به روز رسانی نرم افزار های ضروری چون Java , Flash و Adobe Reader اطمینان حاصل فرمایید. نرم افزار های قدیمی دارای نقص و رخنه های امنیتی بسیاری هستند که توسط هکران و مهاجمان قابل بهره جویی هستند، در این صورت به روز رسانی آنان نیز حائز اهمیت است.
  • از نصب یک راهکار امنیتی قوی و قابل اطمینان غافل نشوید. آنتی ویروس بیت دیفندر امکان فراهم نمودن سطوح مختلف امنیت برای هرگونه پلتفرم را دارد. بیت دیفندر خانگی و بیت دیفندر سازمانی را میتوانید برای سیستم های خود برگزینید. طبق لابراتوری معتبر av-comparatives.org، بیت دیفندر در حال حاضر جزو بهترین آنتی ویروس های موجود در میان دیگر راهکار های امنیتی میباشد.
  • از گذر واژه های دشوار برای حساب های خود استفاده کنید و از یک رمز عبور برای همه ی آنان استفاده نکنید.

منبع: Bleepingcomputer.com