باج افزار Lost_Files

این باج افزار که عملکرد آن تشابه زیادی به برخی دیگر از باج افزارها دارد، با استفاده از روش جعل هشدار شرکت مایکروسافت اقدام به انتشار خود و آلوده ساختن سیستمهای قربانیان نموده و خبر کشف آن در تاریخ 29 سپتامبر 2019 توسط یکی از متخصصین موسسه SANS منتشر شده است.

انتشار دهنده این باج افزار با اعلام هشدار جعلی آلودگی سیستم عامل از طریق ایمیل زیر، از روش ایجاد ترس در قربانیان استفاده کرده و با استفاده از این روش قربانیان را تشویق به استفاده از ابزار جعلی ویروسیابی می نماید.

در این روش، فایل مخرب توسط قربانی از آدرس زیر دانلود شده و پس از اجرای آن، فایلهای موجود بر روی سیستم قربانی رمزگذاری خواهند شد.

آدرس دریافت فایل:

hxxp://104[.]168[.]159[.]201/WSS.zip

کدهای hash فایل فوق و فایل مخرب موجود در این فایل:

02629729329cde8d1892afa1d412a75cfcc338826c0b5087a2ef3182b5a1af85

df693cc9d9e89e1db2a8edeaf2e77723e853f363da510a15ade9be79df96dc5e

پس از اجرا و آلوده شدن سیستم، پیغام زیر جهت دریافت مبلغی معادل 500 دلار در ازای بازگرداندن فایلهای رمز شده نمایش داده خواهد شد:

Hi, This is Lost_Files Ransomware, Pay us 500 USD to get our decryption software. So that you can get your files back. The payment is going to be paid in Bitcoin(BTC). For more information about this please click the same EXE file you clicked when you lost all your files. There will be detailed instruction there. The email is: Lost_Files_Ransom@secmail.proTransfer BTC to this address: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf

این باج افزار قادر به رمزگذاری بر روی فرمتهای زیر می باشد:

.xxx .sdf .txt .doc .docx .xls .pdf .zip .rar .css .xlsx .ppt .pptx .odt .jpg .bmp .png .csv .sql .mdb .php.asp .aspx .html .xml .psd .bat .mp3 .mp4 .wav .wma.avi .mkv .mpeg .wmv .mov .jpeg .ogg.TXT .DOC .DOCX .XLS .PDF.ZIP .RAR .CSS .XLSX .PPT .PPTX .ODT .JPG .BMP.CSV .SQL .MDB .PHP .ASP .ASPX .HTML .XML .PSD .BAT .MP3 .MP4 .WAV .WMA .AVI .MKV .MPEG .WMV .MOV .OGG .JPEG

پس از اجرای فایل مخرب، فایلهای رمز شده بر روی سیستم قربانیان به پسوند .Lost_Files_Encrypt تغییر نام یافته و همچنین این باج افزار با استفاده از روش اسکن پودمان SMB از طریق پورت 445، اقدام به یافتن نشانی های IP تصادفی جهت انتشار آلودگی می‌نماید.

نتایج بررسی ها نشان دهنده شناسایی فایهای مخرب این باج افزار با عنوان Hidden Tear (گونه ای باج افزار متن باز قدیمی) می‌باشد.

لازم به ذکر است که فایلهای مخرب این باج افزار با عنوان Generic.Ransom.Hiddentear.A.B2914DE7 توسط ضدبدافزار Bitdefender قابل شناسایی و پاکسازی می باشند.

نصب و کنترل مداوم به روز رسانی ضدبدافزار، استفاده از راهکارهای پیشگیری از دریافت هرزنامه، کنترل سطح دسترسی کاربران به فایلهای اجرایی و آموزش کاربران در پیشگیری از انتشار انواع گونه های باج افزار موثر بوده و همواره توصیه می گردد.