باج افزار Halloware در دارک وب به مبلغ 40 دلار به حراج گذاشته شد

یک طراح بدافزار به اسم Luc1F3R یک بدافزار جدید به نام Halloware را به قیمت ناچیز 40 دلار به فروش می رساند.

در حال حاضر سازنده بدافزار فروش و تبلیغات خود را در پورتال اختصاصی دارک وب خود، بوسیله ویدیو در YouTube و دو سایتی که در اینترنت عمومی میزبانی می شوند انجام می دهد.

 

 

این سایتها در مقابل 40 دلار یک لایسنس مادام العمر از باج افزار Halloware ارایه می دهند.

این قیمت پایین سه چیز را به ما می گوید. پیشنهاد به این خوبی درست بنظر نمی آید، Halloware یک کلاهبردار است، باج افزار آنقدر که Luc1F3R معتقد است سطح بالا نیست.

سایت های Luc1F3R در حال ردیابی هستند

در ابتدا ما فکر میکردیم که این یک کلاه برداری بوده، با تشکر از چندین خطای عملیاتی در وب سایتهای فروش باج افزار ما توانستیم یک صفحه وب را ردیابی کنیم که مربوط به هاست فایل های Halloware بود که این فایل ها شامل مدارکی برای آلوده کردن قربانیان به باج افزار بود.

 

 

فایل hmavpncreck.exe همان هش کد SHA256 را داشت که Luc1F3R در تبلیغات Halloware اعلام کرده بود، که تایید میکند که ما فایل درست را پیدا کردیم.

علاوه بر این، سایت یک فایل به نام ran.py داشت که بنظر می رسید کد منبع Halloware را دارد. در حالیکه فایل محافظت میشد، ما توانستیم کد منبع آنرا استخراج کنیم و به محققان امنیتی برای ایجاد رمزگشا بدهیم.

 

 

با اینکه Halloware یک باج افزار ساده بود ولی کار کرد. تعدادی از فایل های آلوده شده در وب سایت Luc1F3R فایل های سیستمهای تستی ما را کدگذاری کرد.

باج افزار فایل هایی که از کلید AES-256 استفاده می کنند را رمزگذاری می کند و رشته ی “(Lucifer)” را به فایل رمزگذاری شده اضافه می کند. به عنوان مثال فایل image.png بعد از رمزنگاری به فایل (Lucifer)image.png تبدیل می شود.

 

 

هنگامی که فرآیند رمزگذاری به پایان می رسد، باج افزار Halloware پنجره ای را نشان می دهد که یک دلقک با یک پیام باج خواهی قربانیان را مستقیماٌ به پورتابل پرداخت دارک وب هدایت می کند و صفحه پس زمینه کاربران را با یک پیغام مشابه تغییر می دهد. Halloware فایل متنی به همراه پادداشت باج خواهی را برروی رایانه های آلوده منتقل نمی کند.

 

 

تنها چیزی که یک خریدار نیاز دارد که انجام دهد این است که دو تصویر را تغییر دهد و آدرس مورد نظر خود جهت پرداخت را به آن اضافه کند.

با وجود این، به دلیل اینکه باج افزار از یک کلید AES استفاده می کند و هیچ اطلاعاتی را بر روی ریموت سروری ذخیره نمی کند، Luc1F3R هیچ شانسی برای پول در آوردن از طریق Halloware ندارد. کلاهبردار فقط باید فروش را متوقف کند زیرا هیچ توزیع کننده بدافزار با تجربه ای یک دلار هم برای این باج افزار هزینه نمی کند چه برسد به 40 دلار.

Luc1F3R در حال ردیابی می باشد

Luc1F3R یک بازیگر با مهارت پایین است و به نظر میرسد در دنیای جرایم سایبری به تازگی ظاهر شده است.

آموزش های هک کردنی که او در YouTube آپلود کرد تکنیک های پایه یا بدافزارهای ساده را تشریح می کرد.

بعضی از این فیلم ها را نیز به اکانت GitHub خود لینک کرده بود، در جاییکه Luc1F3R چهار نوع بدافزار دیگر را ذخیره کرده بود: باج افزار Batch-based، Windows keylogger، Linux keylogger و یک حجم زیادی از فرستنده های ایمیل جعلی.

Luc1F3R همچنین مدعی است که یک دانش آموز 17 ساله از شمال شرقی هند است. چونکه Luc1F3R  از یک OpSecموز  ضعیف استفاده می کند، شگفت زده نشوید اگر آن مکان واقعی او باشد.

 

 

IOCS:

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

 

فایل هایی که هدف رمزنگاری قرار میگیرند:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd

 

پیشگیری و محافظت

برای محافظت در برابر باج افزار Luc1F3R یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • بکاپ، بکاپ، بکاپ
     
  • فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید.
     
  • فایل های ضمیمه شده را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
     
  • از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و تنها از vpn استفاده کنید.

منبع: www.bleepingcomputer.com