انتشار نسخه ی PayDay باج افزار BTCWare
PayDay نسخه ای از باج افزار BTCWare است که دسترسی به داده را از طریق رمزگذاری فایل ها محدود نموده و در ازای بازگرداندن فایل ها از قربانی تقاضای باج به صورت بیت کوین می کند.
اگر فایل ها و اسناد شما با پسوند Checkzip@india.com]-id-[random numbers].payday]. رمز شد یعنی سیستم شما به باج افزار BTCWare آلوده شده است. BTCWare یک باج افزار رمزکننده ی فایل است که اسناد شخصی یافت شده بر روی سیستم شخص قربانی را با استفاده از کلید RSA-2048 (الگوریتم رمزنگاری AES CBC 256-bit) رمز نموده و سپس پیغامی به صورت زیر به کاربر نشان می دهد:
" فایل های شما در صورتی رمزگشایی خواهند شد که مبلغ ۵۰۰ تا ۱۵۰۰ دلار در قالب بیت کوین پرداخت نمایید."
دستورالعمل ها در فایل Checkzip@india.com بر روی دسکتاپ سیستم قربانی قرار می گیرند.
این باج افزار تمامی نسخه های ویندوز شامل ۷Windows ، Windows 8.1 و Windows 10 را هدف قرار می دهد. این نوع آلودگی به دلیل نحوه رمزگذاری فایل های کاربر قابل توجه است_ یعنی از روش رمزگذاری AES-265 و RSA استفاده می کند_ برای اینکه مطمئن شود قربانی هیچ راهی جز پرداخت باج و خرید کلید خصوصی ندارد.
نسخه ی PayDay باج افزار BTCWare به دنبال فایل های با پسوند خاص برای رمزگذاری می گردد. فایل هایی که رمز می شوند فایل ها و اسناد مهمی مانند فایل های با پسوند doc.، docx.، xls. و .pdf هستند. زمانی که این فایل ها شناسایی شدند پسوند آنها به PayDay تغییر می یابد، به گونه ای که دیگر قابل دسترسی نیستند (نمی توان آن ها را باز کرد). باج افزار BTCWare نام فایل رمزگذاری شده را به فرمت زیر تغییر می دهد:
[Checkzip@india.com]-id-[random numbers].payday
فایل های هدف امروزه بر روی اکثر کامپیوترهای شخصی یافت می شوند، لیستی از پسوند فایل هایی که معمولاً مورد هدف قرار می گیرند به شرح زیر آورده شده است:
زمانی که این باج افزار آلوده کننده اسکن کامپیوتر شما را تمام کرد کل کپی های Shadow Volume را نیز که بر روی کامپیوتر آلوده هستند حذف می کند. این عمل به گونه ای است شما نمی توانید از کپی هایshadow volume برای بازگرداندن فایل های رمزگذاری شده استفاده نمایید.
باج افزار PayDay BTCWare چگونه کامپیوتر را گرفتار می کند؟
این باج افزار از طریق ایمیل های اسپم حاوی فایل های پیوست آلوده یا لینک به وب سایت های مخرب توزیع می گردد. مجرمان سایبری از یک ایمیل با اطلاعات هدر جعلی استفاده می کنند و به گونه ای شما را فریب می دهند که فکر کنید ایمیل از جانب یک شرکت حمل و نقل مانند DHL یا FedEx است. محتویات ایمیل اینگونه وانمود می کند که انگار قرار بر این بوده بسته ای برای شما ارسال گردد و به دلایلی با شکست مواجه شده است. در اینگونه موارد شما معمولاً زیاد در مورد اینکه محتویات ایمیل به چه چیزی اشاره می کند کنجکاو نمی شوید و فایل پیوست شده را باز می کنید (یا بر روی لینکی که در محتوای ایمیل گنجانده شده کلیک می کنید)، و اینجاست که کامپیوتر شما به باج افزار PayDay BTCWare آلوده می گردد.
منبع: https://malwaretips.com/blogs/remove-btcware-payday-ransomware
