بدافزارها

باج افزار Jigsaw
۹ آبان ۱۳۹۶

باج افزار Jigsaw

نام‌های دیگر:

  • BitcoinBlackmailer
  • CryptoHitMan (subvariant)
  • Epic
  • Invisible Empire
  • BitcoinStealer

نحوه انتشار باج افزار Jigsaw

باج افزار Jigsaw توسط یک فایل آلوده و از طریق یک سرویس ابری به نام ۱fichier[.]com. منتشر شد. این سرویس ابری قبل از این بدافزارهایی مانند Fareit و Coinstealer را هم میزبانی کرده بود. بدافزارهایی که کارشان جمع آوری بیت کوین بود. البته ۱ficher  بعد از مدتی URLهای آلوده را پاک کرد. باج افزار Jigsaw در hxxp://waldorftrust[.]com هم بارگذاری شد، جایی که گمان می‌رود این باج افزار با یک بدافزار Cryptomining ادغام شده است. 

نسخه‌ی دیگری از این باج افزار از طریق سایت‌های غیر اخلاقی منتشر می‌شوند. زمانی که سیستم کاربر آلوده می‌گردد، پیغامی شرم آور به همراه یک عکس برای قربانی نمایش داده خواهد شد.

نحوه‌ی کارکرد باج افزار Jigsaw

Jigsaw اولین باج افزاری است که تمام فایل‌های قربانی را در یک پوشه کپی کرده و فایل اصلی را پاک می‌نماید. تمامی این نسخه‌های کپی شده رمز می‌گردد و داخل پوشه‌ی fun ریخته می‌شوند. پسوند فایل‌ها به KKK، BTC و GSW تغییر می‌یابد.

باج افزار Jigsaw به قربانی پیغام می‌دهد که اگر سیستمش را بخواهد reboot کند، ۱٫۰۰۰ عدد از فایل‌هایش به سرعت پاک خواهند شد. اگر قربانی اقدام به restart کردن سیستمش نماید، اخطار دوم را هم دریافت می‌نماید. این پیغام مبنی بر آن است که ظرف ۷۲ ساعت در صورت نپرداختن باج تمامی فایل‌های کاربر برای همیشه پاک خواهند شد.

نسخه‌ی Jigsaw 2.0

 

نسخه‌ی دیگری از این باج افزار تحت عنوان Jigsaw 2.0 یک ماه بعد از انتشار نسخه‌ی اولیه، عرضه شد. در این نسخه، پیشرفت‌هایی نسبت به نسخه‌ی قبلی مشاهده شد. Jigsaw 2.0 از توابع درهم ساز برای مخفی کردن کدهایش استفاده کرد. همچنین یک روش anti-debugging هم در این نسخه مورد استفاده قرار گرفت. همچنین این نسخه مجهز به قابلیت از کار انداختن ابزار forensic شد. این ابزار عبارتند از:

  • Taskmgr
  • Procexp
  • Regedit
  • Autoruns
  • cmd

گمان می‌رود طراحان Jigsaw 2.0 در حال توسعه‌ی آن هستند و بایستی منتظر رویایی با نسخه‌های جدیدتر آن در آینده‌ای نزدیک باشیم.

 

پیشنهادهایی برای پیشگیری از آلودگی به باج افزار Jigsaw

از یک ضد ویروس معتبر استفاده نمایید

  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
    • System Watcher کسپرسکی را فعال نمایید.

      زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.

  • کاربران خود را آموزش دهید. بسیاری از طراحان باج افزار از ناآگاهی کاربران سو‌استفاده می‌نمایند.
 
آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران

تازه ترین ها