باج‌افزاری در لباس استخراج‌کننده اتریوم

گونه جدیدی از باج‌افزار Chaos کشف شده است که به‌عنوان یک برنامه استخراج اتریوم توزیع می‌شود.
 
به گزارش افتانا به نقل از فورتی‌نت، باج‌افزار Sirattacker یکی از آخرین گونه‌های باج‌افزار Chaos است که برای اولین بار در اواسط فوریه 2023 منتشر شد.
 
چندین نسخه از سازندگان باج‌افزار Chaos در شبکه‌های زیرزمینی وب تاریک (Dark Web) موجود است که به هر کسی اجازه می‌دهد باج‌افزار Chaos را با پیکربندی‌های سفارشی تولید کند.
 
باج‌افزار Sirattacker احتمالاً به‌عنوان یک برنامه استخراج اتریوم توزیع می‌شود زیرا همه نمونه‌ها دارای نماد فایل اتریوم هستند و حتی برخی از آن‌ها «ETH [شماره ۳ رقمی].exe» نام دارند.
 
نوع دیگری از باج‌افزار Chaos به نام «Bruh» که به‌عنوان تولیدکننده رمزارز نیز ظاهر می‌شود، در هفته گذشته کشف شد. در حالی که هیچ ارتباط آشکاری بین Sirattacker و باج افزار Bruh وجود ندارد، این یک تصادف عجیب است.
 
هنگامی که باج‌افزار Sirattacker اجرا می‌شود، فایل‌های دستگاه قربانی را رمزگذاری کرده و چهار نویسه را به‌صورت تصادفی به‌عنوان پسوند به فایل‌های رمزشده الصاق می‌کند.

 
نسخ قدیمی‌تر Chaos، فایل‌های بزرگ‌تر از ۲،۱۱۷،۱۵۲ بایت را با بایت‌های تصادفی رونویسی می‌کردند که این امر بازیابی فایل‌ها را غیرممکن می‌کرد. با این حال، در برخی موارد، مهاجمان باج‌افزار Sirattacker با علم به اینکه اکثر فایل‌ها غیرقابل بازیابی هستند، از قربانی درخواست باج می‌کردند. بر اساس بررسی‌های فورتی‌نت، این باگ در نسخ جدید این باج‌افزار برطرف شده است.
 
اطلاعیه باج‌گیری (Ransom Note) باج‌افزار Sirattacker، فایلی با نام How to Recovery.bat است که با پایان رمزگذاری فایل‌ها در Command Prompt نمایش داده می‌شود.

 
تصویر پس‌زمینه (Wallpaper) نیز با تصویر این باج‌افزار جایگزین می‌شود. والپیپر جدید حاوی پیامی تقریباً مشابه با یادداشت باج است و از قربانیان می‌خواهد که از طریق ایمیل با مهاجم تماس بگیرند.

 
منبع: Fortinet