Ransom32 یک بدافزار باج‌گیر جدید

محققان ESET در چند هفته اخیر یک بدافزار باج‌گیری جدید کشف نمودند که وانمود می‌کند که مرورگر Chrome گوگل است. شناسه این بدافزار Win32/Filecoder.NFR است و نام آن Ransom32 است. آن به‌عنوان یک Ransomware as a Service یا RaaS عمل می‌کند که منبع آن‌یک سرور پنهان در شبکه Tor است. مجرمین سایبری می‌توانند نوع بدافزار آلودگی، مقدار bitcoin درخواستی و نوع پیام‌های تهدید بر روی کنسول قربانی را انتخاب کنند. آنها می‌توانند آمار تعداد کاربران آلوده و تعداد پرداختی‌ها توسط قربانیان را مشاهده کنند.
با نصب Ransom32 بر روی سیستم و اجرا آن تمامی فایل‌های مخرب در folder دارای temp files ریخته می‌شود و در هر boot این برنامه‌ها اجرا می‌شود. فایل مخرب chrome.exe خود را در قالب مرورگر Chrome عرضه می‌کند اما در properties آن امضا دیجیتالی وجود ندارد و اطلاعات مربوط به ورژن و اسم محصول حذف‌شده‌اند. با اجرا برنامه Ransom32 توسط کاربر، اقدامات معمول یک بدافزار باج‌گیری یا ransomware مانند رمزگذاری فایل‌ها، تماس با سرور اصلی و ظاهر شدن پیام درخواست باج انجام می‌شود. پسوندهای مورد هدف رمزگذاری بیش از صد عدد است و موارد با فرکانس بالا شامل پسوندهای متن و تصویر (.TXT, .DOC, .JPG, .GIF, .AVI, .MOV, .MP$) می‌باشند.
نکته دیگر که Ransom32 را از بقیه بدافزارهای رمزگذاری مشابه متفاوت می‌سازد این است که اندازه آن حدود 45 MG که در مقایسه با بقیه نسبتاً بزرگ‌تر است. اما این منطقی است چون آن وانمود به مرورگر بودن می‌کند. در بازار سیاه سایبری و جوامع هکرها کوچک بودن فایل‌های مخرب یکی از امتیازات فروش آنان می‌باشد.
Ransom32 نوع Filecoder است که در آن مجرمین سایبری از روش‌های متفاوت برای ارسال بدافزارهای مختلف بر روی سیستم قربانی مانند موارد ذیل استفاده می‌کنند.
•   سایت‌های مخرب
•   حملات Drive-by-download
•   ضمیمه‌های ایمیل مخرب
•   استفاده از دانلودر های تروجان (Trojan downloaders) و درب‌های پشتی (backdoors)

فایل‌های قربانی توسط یک کلید 128 بیتی AES رمزگذاری شده و برای هر فایل یک کلید انتشار میابد. این کلیدها توسط یک الگوریتم RSA رمزنگاری می‌شوند و در تماس اول بدافزار با سرور C2 یک کلید عمومی دریافت می‌شود.