خانه / باج افزار / تحلیل باج افزار PUBG

تحلیل باج افزار PUBG

نام این باج‌‌افزار از یک بازی به نام PlayerUnknown’s Battlegrounds گرفته شده است. بررسی ها نشان می دهد فعالیت این باج‌افزار همزمان با آغاز ماه آوریل سال ۲۰۱۸ میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌‌افزار برای رمزگشایی فایل‌‌ها، دو راه پیش روی قربانیان قرار می‌‌دهد؛ از آن‌‌ها می‌‌خواهد یا یک بازی را به مدت یک ساعت انجام دهند و یا کد رمزگشایی موجود در پیغام باج‌‌خواهی را برای رمزگشایی فایل‌‌ها وارد نمایند. به دلیل ضعف‌‌هایی که در کد منبع این باج‌‌افزار مشاهده شده است به راحتی می‌‌توان فایل‌‌های رمزگذاری شده توسط این باج‌افزار را رمزگشایی نمود. در ادامه خلاصه‌ای از تحلیل باج‌افزار مورد اشاره را مشاهده می‌کنید.

بر اساس بررسی ها، باج‌‌افزار مورد اشاره، تنها فایل‌‌های موجود در صفحه دسکتاپ را با استفاد از الگوریتم رمزنگاری AES در حالت CBC 256 بیتی، رمزگذاری می‌‌کند. سپس پیغام باج‌‌خواهی خود را بر روی صفحه نمایش، قرار می دهد که در پیغام باج‌‌خواهی نام فایل‌‌هایی که رمزگذاری شده‌‌اند به صورت یک لیست، قابل مشاهده می‌‌باشند.

در تصویر زیر پیغام باج خواهی باج افزار PUBG را مشاهده می کنید.

 

بررسی‌‌ها نشان می‌‌دهد که باج‌افزار PUBG می‌‌تواند فایل‌‌هایی با پسوندهای زیر را رمزگذاری کند. پسوند تمام فایل‌های زیر پس از اتمام فرآیند رمزگذاری، به “.PUBG” تغییر پیدا می‌‌کنند.

.۳dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

 

ارتباطات شبکه:

آدرس IP دامنه کشور
۲۱۶٫۵۸٫۲۱۷٫۱۱۰ iad23s42-in-f14.1e100.net امریکا
۱۷۲٫۲۱۷٫۱۰٫۱۰۰ lga34s15-in-f4.1e100.net امریکا
۲۱۶٫۵۸٫۲۱۳٫۱۴۲ par21s03-in-f142.1e100.net امریکا

 

مشخصات فایل اجرایی :

نام فایل PUBG_Ransomware.exe, attention.exe
اندازه (۴۱KiB (41472 bytes
SHA-1 d63ff86f05b6f2fb86abf0dcd16cd2008fa3c158
SHA-256 ۳۲۰۸efe96d14f5a6a2840daecbead6b0f4d73c5a05192a1a8eef8b50bbfb4bc1
MD5 ۰۹۹۷ba7292ddbac1c7e7ade6766ed53c
کامپایلر Microsoft visual C# v7.0 / Basic .NET

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.