تا %60 تخفیف خرید برای 7 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

باج افزار MarsJoke چیست ؟

این باج افزار از جدیدترین نوع باج افزارهاست که از طریق هرزنامه و توسط یک بات نت توزیع پیدا کرده بود. محل حمله این باج افزار٬ سازمان‌های دولتی مهم ایالتی و موسسات آموزشی آمریکا اعلام شده. آزمایشگاه امنیت کسپرسکی ابزار رمزگشای RannohDecryptor را برای این باج افزار منتشر کرد که می تواند فایل‌های رمز شده نسخه 1.9.30 با پسوند a19. را رمزگشایی کند.

اما شیوع بزرگ این باج افزار در در 22 سپتامبر سال 2016 بود که در مقیاس بزرگ و از طریق ایمیل توزیع شد و طبق گزارشات واصله یک بات نت شناخته شده به نام Kelihos، مسئول توزیع این هرزنامه بوده همچنین روش توزیع این باج افزار بسیار شبیه به یک کمپین CryptFile2 بود که در اوت فعالیت کرد. وبلاگ گری برادران وارنر نیز در این مورد و مشابه مبارزات گزارش نشان می دهد که یک بات نت شناخته شده، Kelihos، مسئول توزیع این هرزنامه است.

در 22 سپتامبر شرکت proofpoint کمپین ایمیل باج افزار MarsJoke رو شناسایی کرد. ایمیل ها شامل url هایی هستند که به یک فایل اجرایی به نام "file_6.exe" که میزبان آن سایت های مختلفی هستند با دامین هایی که به جهت حمایت از این باج افزار اخیرا ثبت شده اند در هدایت می کرد و بدین طریق موجب شیوع و توزیع خود می شد. پیام داخل این متن ایمیل دارای تنوع زیادی در موضوعات بوده که به یک خط هوایی ترابری لینک می خوره با این مبنا که نام تجاری بسرقت رفته و کاربر را قانع به کلیک بر روی لینک در این کمپین می کند.

 

عبارات داخل این لینک عبارتند از :

  • چک کردن شماره پیگیری
  • بررسی بسته بندی خود را
  • بررسی TN خود را
  • چک کردن شماره پیگیری خود را
  • ردیابی اطلاعات
  • بسته ات را ردیابی کن

در این شکل مشاهده می کنید ، ایمیلی رو که فریبکارانه و با یک نام تجاری جعلی به آدرس باج افزار مخرب لینک می دهد.

معرفی باج افزار MarsJoke


نام این باج افزار بر اساس رشته "HelloWorldItsJokeFromMars" ای است که در کد آن وجود دارد که به تقلید از آن تقلید سبک ctb-locker ، که بصورت یک راهنما به قربانی نمیش داده میشه.
هشدار به قربانینی که این باج افزار فایلهای آنها را رمز کرده و همچنین مشابه باج افزارهای مشابه فایلهایی رو در سراسر سیستم قربانی ایجاد می کنه که در مورد این باج افزارها، این فایلها عبارتند از :“!!! For Decrypt !!!.bat”, “!!! Readme For Decrypt !!!.txt”, “ReadMeFilesDecrypt!!!.txt” .

معرفی باج افزار MarsJoke


فایل های موقت با پسوند ".a19" و ".ap19" در طول فرایند رمزگذاری ایجاد می شوند که در انتهای فرایند پاک می شوند.

معرفی باج افزار MarsJoke


در نهایت فایل readme برای قربانین نمایش داده می شود که حاوی دستورالعمل ها بوده و از قربانی می خواهد که با نصب مرورگر tor منتظر دستورات بعدی باشد

معرفی باج افزار MarsJoke


پس زمینه دسکتاپ قربانیان نیز تغییر کرده و حاوی متنیه که در چندین زبان از جمله انگلیسی (به طور پیش فرض در طول آزمایش)، روسی، ایتالیایی، اسپانیایی، و اوکراین در دسترس است و به قربانین 96 ساعت فرصت می ده تا مبلغ مربوطه (در حال حاضر 319.98 USD) را پرداخت نمایند و بعد از آن فایلهایشان حذف خواهد شد.

معرفی باج افزار MarsJoke


پیغام نحوه پرداخت باج خواسته شده

معرفی باج افزار MarsJoke

مرجع : MarsJoke Ransomware Mimics CTB-Locker

نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند