توییت
بازگشت باج افزار FTCode
با شروع 26 سپتامبر ، مجموعه ای از گزارش ها درباره توزیع باج افزار جدید از طریق اسپم دریافت شد که نام آن FTcode نهاده شد.
به گفته کارشناسان امنیت این نمونه Sophos است که در سال 2013 کشف شد و حدس می زند که FTCode در حملات اخیر احیا شده است زیرا PowerShell بطور پیش فرض در دستگاههای ویندوز حداقل ویندوز 7 یا ویندوز سرور 2008 R2 به صورت یکپارچه نصب است.
باج افزار FTCode از طریق ایمیل های اسپم حاوی اسناد Word مخرب آلوده شده به عنوان فاکتور ، اسکن اسناد و رزومه به رایانه قربانیان خود وارد می شود که باعث می شود بارگیری بدافزار JasperLoader را رها کرده و سپس دستگاه را رمزگذاری کنید.
با این حال ، رمزگذاری تا زمانی که بدافزار با اضافه کردن یک کار برنامه ریزی شده و میانبر به پوشه Startup ادامه پیدا نکند ، رخ نخواهد داد.
درست قبل از شروع رمزگذاری پرونده ها ، FTCode پرونده C: \ Users \ Public \ OracleKit \ w00log03.tmp را که به عنوان killswitch عمل می کند ، بررسی می کند.
اگر آن پرونده یافت نشد ،FTCode یک کلید رمزنگاری به سرور C2 مهاجمین ارسال میکند ، یک کلید رمزنگاری که می توان آن را ضبط کرد و بعداً با رمزگشایی توسط تیم امنیتی Certego مشخص شد باج افزار از آن برای بازیابی فایل ها در رایانه های قفل شده استفاده میکند.
در مرحله بعدی ، باج افزار همچنین محیط بازیابی ویندوز را غیر فعال می کند و Shadow Volume Copies و پشتیبان گیری از Windows را حذف می کند تا بازیابی داده ها بدون پرداخت باج غیرممکن شود.
در مرحله بعد ، FTCode رمزگذاری پرونده ها را شروع می کند که در آن پسوند .TTT به همه پرونده های موجود در سیستم اضافه میگردد و یادداشت های باج افزار در فایل READ_ME_NOW.htm کنار آنها قرار میگیرد.
مهاجمان مبلغ 500 دلار باج برای تحویل کلید رمزگشایی به قربانیان خود می خواهند ، با این حال ، همانطور که یکی از خوانندگان BleepingComputer خاطرنشان کرده است گزارش هایی مبنی بر پرداخت باج و عدم دریافت رمزگشایی وجود داشته است
.
با شروع 26 سپتامبر ، مجموعه ای از گزارش ها درباره توزیع باج افزار جدید از طریق اسپم دریافت شد که نام آن FTcode نهاده شد.
به گفته کارشناسان امنیت این نمونه Sophos است که در سال 2013 کشف شد و حدس می زند که FTCode در حملات اخیر احیا شده است زیرا PowerShell بطور پیش فرض در دستگاههای ویندوز حداقل ویندوز 7 یا ویندوز سرور 2008 R2 به صورت یکپارچه نصب است.
باج افزار FTCode از طریق ایمیل های اسپم حاوی اسناد Word مخرب آلوده شده به عنوان فاکتور ، اسکن اسناد و رزومه به رایانه قربانیان خود وارد می شود که باعث می شود بارگیری بدافزار JasperLoader را رها کرده و سپس دستگاه را رمزگذاری کنید.
با این حال ، رمزگذاری تا زمانی که بدافزار با اضافه کردن یک کار برنامه ریزی شده و میانبر به پوشه Startup ادامه پیدا نکند ، رخ نخواهد داد.
درست قبل از شروع رمزگذاری پرونده ها ، FTCode پرونده C: \ Users \ Public \ OracleKit \ w00log03.tmp را که به عنوان killswitch عمل می کند ، بررسی می کند.
اگر آن پرونده یافت نشد ،FTCode یک کلید رمزنگاری به سرور C2 مهاجمین ارسال میکند ، یک کلید رمزنگاری که می توان آن را ضبط کرد و بعداً با رمزگشایی توسط تیم امنیتی Certego مشخص شد باج افزار از آن برای بازیابی فایل ها در رایانه های قفل شده استفاده میکند.
در مرحله بعدی ، باج افزار همچنین محیط بازیابی ویندوز را غیر فعال می کند و Shadow Volume Copies و پشتیبان گیری از Windows را حذف می کند تا بازیابی داده ها بدون پرداخت باج غیرممکن شود.
در مرحله بعد ، FTCode رمزگذاری پرونده ها را شروع می کند که در آن پسوند .TTT به همه پرونده های موجود در سیستم اضافه میگردد و یادداشت های باج افزار در فایل READ_ME_NOW.htm کنار آنها قرار میگیرد.
مهاجمان مبلغ 500 دلار باج برای تحویل کلید رمزگشایی به قربانیان خود می خواهند ، با این حال ، همانطور که یکی از خوانندگان BleepingComputer خاطرنشان کرده است گزارش هایی مبنی بر پرداخت باج و عدم دریافت رمزگشایی وجود داشته است
.