باج افزار جدید LooCipher از طریق اسپم گسترش می یابد

باج افزار جدید LooCipher از طریق اسپم گسترش می یابد

یک باج افزار جدید به نام LooCipher کشف شده است که برای آلوده کردن کاربران استفاده می شود. در حالیکه دقیقاً مشخص نیست که چگونه این باج افزار توزیع می شود، بر اساس برخی از فایل ها که یافت شدند، ما معتقدیم که از طریق یک کمپین اسپم توزیع می شود.

LooCipher برای اولین بار توسط محقق امنیتی Petrovic کشف شد و از آن زمان BleepingComputer و Michael Gillespie مشاهده کردند که چندین نفر با این باج افزار شدند.

توزیع شده از طریق اسناد مخرب

درحالیکه ما مطمئن نیستیم که کدامیک از کمپین های فیشینگ این باج افزار را گسترش می دهند، ما می دانیم که این باج افزار یک سند World مخرب به نام Info_BSV_2019.docm می باشد.

همانطور که در زیر مشاهده می کنید، هنگامیکه این سند باز می شود به صورت معمول، از شما درخواست می کند تا macros را برای مشاهده محتوا فعال کنید.

فایل word مخرب

اگر یک کاربر macros را فعال کند، macros از طریق یک gateway به سرور Tor وصل می شود و فایل http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe را دانلود می کند. این فایل به LooCipher.exe تغییر نام پیدا خواهد کرد و سپس همانطور که در زیر مشاهده می کنید، اجرا می شود.

دانلود کننده macro

باج افزار LooCipher

هنگامیکه باج افزار اجرا می شود، LooCipher یک فایل به نام c2056.ini روی دسکتاپ ویندوز می سازد که ID یونیک کامپیوتر، یک محدوده زمانی برای هنگامیکه کلید منقضی می شود و یک آدرس بیت کوین در آن ذخیره خواهد شد. این فایل بیان می کند که آن را حذف نکنید یا تغییر ندهید، زیرا ممکن است این باج افزار به خوبی نتواند رمزگشایی کند.

فایل تنظیمات LooCipher

باج افزار سپس شروع به رمزگذاری فایل ها در کامپیوتر می کند. این روش کمی مشکل دار به نظر می رسد چون به جای پاک کردن نسخه اصلی فایل رمزنگاری نشده، حجم آنها را 0 بایت می کند. کپی فایل های رمزنگاری شده ایجاد می شود و پسوند .lcphr به آنها اضافه می شود.

فایل های رمزنگاری شده LooCipher

یادداشت باج خواهی به نام @Please_Read_Me.txt ایجاد خواهد شد که حاوی مقدار باج به بیت کوین و دستورالعمل نحوه پرداخت می باشد. مقدار فعلی باج 300 یورو یا تقریباً 330 دلار آمریکا می باشد.

فایل های رمزنگاری شده LooCipher

LooCipher پس زمینه سیستم را به یادداشت باج تغییر خواهد داد که شامل اطلاعات مشابه به یادداشت باج خواهی می باشد.

تصویر پس زمینه سیستم

سرانجام صفحه رمزگشایی LooCipher نمایان خواهد شد. این صفحه شامل یک شمارش معکوس برای پاک شدن کلید رمزگشا و همچنین یک دکمه برای بررسی پرداخت می باشد.

در صورت پرداخت، باج افزار کلید رمزگشا را از سرورهای Tor دانلود کرده و دکمه رمزگشایی را فعال می کند تا بتوانید فایل های خود را بازیابی کنید. این آزمایش نشده و مشخص نیست که این روند کار کند.

محیط گرافیکی LooCipher

اگر فایل اجرایی LooCipher حذف شود، یادداشت باج خواهی و تصویر پس زمینه پاک می شود که شامل یک لینک mega.nz می باشد که محیط گرافیکی باج افزار را از طریق آن می توان دانلود کرد.

در حال حاضر، ما در حال آنالیز باج افزار هستیم و مشخص نیست که رمزگشایی شود. اگر چیز بیشتری کشف شود، این مقاله را به روز رسانی خواهیم کرد.

پیشگیری و محافظت

برای محافظت در برابر باج افزار LooCipher یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید. این بک آپ باید به صورت آفلاین ذخیره شود و برای باج افزار قابل دسترس نباشد.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • بکاپ، بکاپ، بکاپ
     
  • فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید. همانطور که LooCipher توسط اسپم گسترش می یابد، مهم است که مهم است که تمام کاربران در مورد نحوه درست شناسایی اسپم های مخرب آموزش ببینند و هیچ فایل ضمیمه ای را بدون اینکه مطمئن شوند که چه کسی و چرا آن را فرستاده باز نکنند. علاوه بر این، اگر هر فایل ضمیمه ای از شما بخواهد که برای دیدن محتوا، ماکرو یا محتوایی را فعال کنید بلافاصله آن را ببندید و آن را در VirusTotal اسکن کنید و یا آن را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
  •  
  • از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و آن را در پشت فایروال قرار دهید و تنها از vpn استفاده کنید.

همانطور که LooCipher توسط اسپم گسترش می یابد، مهم است که مهم است که تمام کاربران در مورد نحوه درست شناسایی اسپم های مخرب آموزش ببینند و هیچ فایل ضمیمه ای را بدون اینکه مطمئن شوند که چه کسی و چرا آن را فرستاده باز نکنند. علاوه بر این، اگر هر فایل ضمیمه ای از شما بخواهد که برای دیدن محتوا، ماکرو یا محتوایی را فعال کنید بلافاصله آن را ببندید و آن را در VirusTotal اسکن کنید.

منبع: Bleepingcomputer.com