Babuk Locker is the first new enterprise ransomwareBabuk Locker اولین باج افزار جدید سازمانی سال 2021 است
سال جدید 2021 همراه با یک باج افزار جدید به نام Babuk Locker شروع شده است که شرکت ها و با استفاده از حملات انسانی قربانیان آن هستند.

از مذاکرات باج افزار نویسان آن با قربانیان که توسط BleepingComputer مشاهده شده است، مبالغ باج خواهی از 60،000 تا 85،000 $ به صورت بیت کوین متغیر بوده است.

چگونه Babuk Locker فایلها را رمزگذاری می کند؟

تمام فایلها و مستنداتی که توسط این باج افزار رمزگذاری شده اند دارای پسوند خاص ، یاداشت و یک URL قربانی در شبکه Tor می باشد.

به گفته محقق امنیتی Chuong Dong که باج افزار جدید Babuk Locker را مورد تجزیه و تحلیل قرار داده است ، کدگذاری Babuk Locker آماتوری است اما شامل رمزگذاری ایمن است که امکان بازیابی رایگان پرونده های قربانیان را غیر ممکن می کند.

دونگ در گزارش خود اظهار داشت: “علیرغم شیوه های رمزگذاری آماتوری ، برنامه رمزگذاری قوی آن که از الگوریتم منحنی بیضوی Diffie-Hellman استفاده می کند ، در حمله به بسیاری از شرکت ها تاکنون موثر بوده است.”

هنگام فعال سازی ، امکان کنترل اینکه در ابتدا رمزگذاری فایل های محلی یا به اشتراک گذاشته شده  انجام شود با استفاده از دستورات خط فرمان وجود دارد آرگومان های خط فرمان که این رفتار را کنترل می کنند در زیر لیست شده اند:

-lanfirst
-lansecond
-nolan

پس از فعال سازی ، باج افزار سرویس ها و پروسس های مختلف ویندوز را که برای باز نگه داشتن پرونده ها و جلوگیری از رمزگذاری فعال شده اند را   خاتمه می دهد. برنامه های خاتمه یافته شامل سرورهای پایگاه داده ، سرورهای ایمیل، نرم افزار پشتیبان گیری ، سرویس گیرنده ایمیل و مرورگرهای وب هستند.

هنگام رمزگذاری پرونده ها ، Babuk Locker از یک پسوند سخت کدگذاری شده استفاده می کند و آن را به هر فایل رمزگذاری شده اضافه می کند ، همانطور که در زیر نشان داده شده است. پسوند سخت کدگذاری شده فعلی که برای همه قربانیان استفاده شده است .__ NIST_K571__.

پرونده های رمزگذاری شده Babuk Locker

یک یادداشت باج افزار به نام How To Restore Your Files.txt در هر پوشه ایجاد می شود. این یادداشت باج شامل اطلاعات اساسی در مورد آنچه در هنگام حمله رخ داده است و پیوند به یک سایت Tor که قربانی می تواند با اپراتورهای باج افزار مذاکره کند.

یکی از یادداشت های باج که توسط BleepingComputer مشاهده شده حاوی نام قربانی و پیوند به تصاویر اثبات کننده این است که عوامل تهدید پرونده های رمزگذاری نشده را هنگام حمله به سرقت برده اند.

سایت Babuk Locker Tor هیچ چیز جذابی نیست و به سادگی حاوی صفحه چت است که در آن قربانی می تواند با عوامل تهدید صحبت کرده و برای باج مذاکره کند. به عنوان بخشی از روند مذاکره ، اپراتورهای باج افزار از قربانیان خود می پرسند که آیا بیمه سایبری دارند یا خیر و یا با یک شرکت بازیابی باج افزار کار می کنند.

اپراتورهای باج افزار همچنین از قربانیان پرونده موجود در  %AppData%\ecdh_pub_k.bin  را که شامل کلید عمومی ECDH قربانیان است ، را برای بررسی و رمزگشایی پرونده های قربانیان درخواست می کنند.

متأسفانه ، دونگ می گوید که باج افزار با استفاده از ChaCha8 و منحنی بیضوی Diffie – Hellman (ECDH) باج افزار را ایمن کرده و به طور رایگان قابل رمزگشایی نیست.

از انجمن هکرها برای درز اطلاعات سرقت شده استفاده می کند

یک روش رایج باج افزار این است که قبل از رمزگذاری دستگاه های شبکه ، داده های رمزنگاری نشده از قربانی را سرقت می کند. عوامل تهدید از داده های به سرقت رفته در استراتژی اخاذی مضاعف استفاده می کنند ، جایی که تهدید می کنند در صورت عدم پرداخت دیه ، داده ها را فاش می کنند.

اکثر عملیات باج افزارهایی که از این روش استفاده می کنند ، سایت های نشت داده باج افزار عمومی را برای انتشار داده های سرقت شده ایجاد کرده اند.

با این حال ، بابوک لاکر در حال حاضر از یک انجمن هکر برای فاش کردن اطلاعات سرقت شده خود استفاده می کند. بابوک لاکر در حال حاضر پنج قربانی شناخته شده از سراسر جهان دارد ، از جمله:

حداقل یکی از قربانیان با پرداخت دیه موافقت کرده است که مبلغ 85000 دلار بود.

در پست ارسال شده به انجمن هکرها ، نماینده بابوک لاکر اظهار داشت که آنها به زودی سایت اختصاصی افشای اطلاعات را راه اندازی خواهند کرد.

لینک مطلب

4000 حمله روزانه سایبری از زمان شیوع ویروس کوید 19 در آمریکا

هشدار مهم بدافزار و باج افزار نهفته در بازی Cyberpunk 2077

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code