خانه / باج افزار / تحلیل باج افزار AutoTRON

تحلیل باج افزار AutoTRON

فعالیت باج افزار AutoTRON در نیمه­‌ی دوم ماه آوریل سال ۲۰۱۸ میلادی شروع شده و به نظر می‌­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­‌باشد.  نتایج حاصل از تحلیل‌ها نشان می دهد که کد منبع باج­‌افزار AutoTRON مشابه کد دو باج‌­افزار Crypt888 و Ishtar می­‌باشد و احتمال می‌­دهیم این باج‌­افزار از خانواده باج‌­افزارهای RaaS باشد. در ادامه خلاصه‌ای از تحلیل باج‌­افزار مورد اشاره را مشاهده می‌کنید.

بر اساس تحلیل های انجام شده، باج­‌افزار AutoTRON، فایل­‌های موجود در صفحه دسکتاپ که حداکثر ۱۵ مگابایت حجم دارند را با استفاده از الگوریتم رمزنگاری AES 256 بیتی رمزگذاری می­‌کند. پس از رمزگذاری موفقیت‌­آمیز فایل‌­ها، پسوند آن‌ها به .TRON تغییر کرده و  یک فایل متنی با فرمت TXT بر روی Desktop ایجاد می­‌شود که حاوی پیغام باج­‌خواهی می­‌باشد. در تصویر زیر پیغام باج­‌خواهی باج­‌افزار AutoTRON را مشاهده می­‌کنید :

بر اساس پیغام باج‌خواهی، قربانی برای پرداخت باج، تنها ۱۰ روز مهلت دارد که در صورت عدم پرداخت در زمان تعیین شده، فایل‌ها قابل رمزگشایی نخواهند بود. مبلغ باج در این پیغام مشخص نشده اما قربانی می‌بایست مبلغ باج را به آدرس کیف پول بیت کوین ۱GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY ارسال نماید.

ضمناً مهاجم، ایمیلی به آدرس bitcoin.change.manager@gmail.com را نیز برای ارتباط گیری قربانی با وی، در پیغام باج‌خواهی قرار داده است.

طبق بررسی­‌های انجام شده اکثر آنتی­‌ویروس­‌های معتبر، این باج‌­افزار را به عنوان یک تروجان شناسایی نموده‌اند. لذا احتمال نفوذ باج‌­افزار به سیستم از راه‌های متداول از جمله هرزنامه­‌ها وجود دارد.

 

ارتباطات شبکه:

پس از اجرا و بررسی ترافیک شبکه باج‌افزار، هیچگونه درخواست DNS و ارتباطی برای برقراری ارتباط با سیستم قربانی مشاهده نشد.

مشخصات فایل اجرایی:

نام فایل AutoTRON.exe
اندازه (۸۵۶KiB (876032 bytes
SHA-1 c28961e7a22e2d5c5bce189214974a91faa11275
SHA-256 ۱۷abbc9e2cd58563aba1d2f3ceb539eced16ec950ddcc3f8e068f9d0c5441096
MD5 ۱f37eebe61bc9252bd72e643f4223896
کامپایلر VC8 -> Microsoft Corporation

 منبع : مرکز ماهر

همچنین ببینید

تحلیل باج افزار MoneroPay

باج‌افزار MoneroPay برای نخستین‌بار در آدرس اینترنتی ‘hxxp://pagebin[.]com/xxqZ8VES’ که یکی از دامنه‌های وب سایت pagebin.com …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.