فروم های IObit باج افزار منتشر میکنند.

فروم های IObit باج افزار منتشر میکنند.

فروم های IOBit هک شدند و هکر ها اقدام به انتشار باج افزار در فروم و ایمیل های کاربران کردند.

توسعه دهنده ابزار های ویندوز IOBit در طول هفته ی گذشته هک شد تا حمله های گسترده ای با استفاده از باج افزار DeroHE بر روی کاربران فروم این شرکت انجام شود.
این شرکت یک توسعه دهنده ی نرم افزار است که به برنامه های ضد ویروس و بهینه سازی آن معروف است ، همانند برنامه Advance SystemCare.
در طول هفته ، کاربران فروم IOBit شروع به دریافت ایمیلی کردند که ادعا میکرد از طرف IOBit هستند و قرار است یک لایسنس یک ساله به اعضای فروم هدیه دهند.

باج افزار


لینکی در ایمیل به آدرس hxxps://forums.iobit.com/promo.html هدایت میشده. این پیج در حال حاضر وجود ندارد ، اما در زمان حمله موجود بود و فایلی با لینک hxxps://forums.iobit.com/free-iobit-license-promo.zip را توزیع میکرد.
بررسی این ویروس : شامل امضای دیجیتال برنامه ی IOBit License Manager میشود ، اما با IOBitUnlocker.dll امضا نشده با یک ویروس که نسخه ی آن در تصویر زیر نمایش داده شده است شامل میشود.

باج افزار

وقتی که اجرا شود فایل مخرب IOBITUnlocker.dll شروع به اجرای باج افزار DeroHe میکند. از آنجایی که بیشتر فایل ها با گواهی رسمی IOBit ثبت شده بودند ، بسیاری از کاربران گول خوردند که ایمیل دریافتی معتبر است. با توجه به گزارش های IOBit تمام کاربر های فروم مورد هدف این ایمیل قرار گرفتند.
نگاه دقیق تری به باج افزار DeroHe
وقتی که این باج افزار شروع به کار کند ، یک فایل آتو ران به نام “IO License Manager” را اضافه میکند که این فایل دستور "rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry" را اجرا میکند.
متخصصی که این باج افزار را تحلیل کرده ، اعلام کرده است که باج افزار فایل های زیر به استثنا های آنتی ویروس پیش فرض ویندوز اضافه میکند که اجازه میدهد تا فایل dll اجرا شود.

باج افزار

سپس باج افزار پیامی مبنی براینکه "صبر کنید ، ممکن است این عملیات کمی بیشتر از حالت عادی طول بکشد. کامیپوتر خود را روشن نگه دارید" نمایش میدهد. این پیام به باج افزار کمک میکند تا قبل از خاموش کردن سیستم توسط کاربر ، بطور کامل فایل ها را رمزگذاری کند.

باج افزار

وقتی که رمزگذاری سیستم قربانی به پایان رسد ، پسوند .DeroHe را به فایل های رمزگذاری شده اضافه میکند.

باج افزار


فایل های رمزگذاری شده یک رشته اطلاعاتی را نیز شامل میشوند که در تصویر زیر نمایش داده شده است. باج افزار ممکن است از این اطلاعات برای رمزگشایی فایل ها (در صورت پرداخت باج) استفاده کند.

باج افزار

باج افزار

بر روی صفحه ی دکستاپ ، باج افزار دو فایل با نام های FILES_ENCRPTED.html که شامل لیستی از تمام فایل های رمزگذاری شده و READ_TO_DECRYPT.html میشود که متن باج است.

باج افزار

آدرس نسخه Tor ، http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onion میتواند برای پرداخت باج استفاده شود.
نکته ی جالب این است که این وبسایت اعلام کرده است که IOBit میتواند با پرداخت 100,000 دلار میتواند فایل های تمامی قربانی ها را نجات دهد و اعلام کرده این باج گیری تقصیر IOBit است.

باج افزار

در حال حاضر این باج افزار در حال بررسی است و هنوز معلوم نیست بتوان آن را به طور رایگان رمز گشایی کرد یا خیر و همچنین معلوم نیست که آیا اگر IOBit باج را پرداخت کند آیا برای همه ی کاربران رمزگشا فرستاده میشود یا خیر.

فروم های IOBit
برای ساختن یک صفحه پروموشن تقلبی و هاست برای دانلود فایل های مخرب ، حمله کننده ها احتمالا فروم IOBit را هک کرده و به حساب ادمین دسترسی پیدا کردند.
در حال حاضر ، فروم ها همچنان ناامن به نظر می آیند ، اگر به پیج مراجعه کنید با ارور 404 مواجه میشوید ، گرچه در وبسایت همچنان قسمت نوتیفیکشن آن فعال است و شروع به تبلیغ محتوای بزرگسال میکند.

باج افزار

بعلاوه ، اگر در هرجایی از سایت کلیک کنید ، یک تب باز میشود که تبلیغ محتوای بزرگسال میکند. حمله کننده ها با تزریق یک اسکریپت مخرب بر تمام صفحه های not found فروم را خطرناک کرده اند. که در تصویر زیر نمایش داده شده است.

باج افزار

 

منبع : www.bleepingcomputer.com