مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی از خانوادهی HiddenTear به نام PooleZoor خبر میدهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران ایرانی می باشد. این باجافزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری استفاده میکند و تنها فایلهایی با پسوندهای مشخص که بر روی Desktop سیستم قربانیان موجود هستند را رمزگذاری میکند. باج افزار مورد اشاره پس از رمزگذاری فایلها، پسوند آنها را به ".PooleZoor" تغییر میدهد و از قربانیان تقاضای پرداخت مبلغ یک میلیون تومان به عنوان باج میکند که طبق گفتهی مهاجمان این مبلغ صرف امور خیریه خواهد شد. از آنجایی که با یک نسخه آفلاین از پروژه متن باز HiddenTear طرف هستیم و با توجه به تشابهات موجود در کد باجافزار با نسخه اصلی آن، به نظر میرسد مهاجمین صرفاً با اعمال تغییرات اندک در کد منبع این باجافزار نسبت به انتشار آن اقدام نموده اند. لذا با توجه به نقایص ذاتی موجود در پروژه HiddenTear ، فایلهای رمزگذاری شده توسط این باجافزار براحتی قابل رمزگشایی میباشند.
- 2