باج افزار Xorist یکی از خانواده های باج افزاری مشهور است که تحت عنوان RaaS (باج افزار به عنوان سرویس) ارائه می شود. این ویژگی به افراد اجازه می دهد تا به راحتی نسخه های متفاوتی از باج افزار با ویژگی های سفارشی ایجاد کنند. طبق گزارش متخصصان امنیتی، آلودگی توسط باج افزار Xorist افزایش چشمگیری در میان کاربران داشته است.
سهولت استفاده از این سرویس باعث شده تا مدل های گوناگونی از جمله انواع مختلف پسوند، الگوریتم های رمزنگاری، یادداشت های متنی باج و غیره از باج افزار Xorist تولید شود. این مساله تشخیص نوع باج افزار و ارائه راه حل را برای متخصصان بسیار دشوار می کند.
ابزار رمزگشای باج افزار Xorist
خبر خوب این است که مدیر فناوری امسی سافت فابین وسار (Fabian Wosar)، ابزار رمزگشای این باج افزار را تولید کرده است. اگر اطلاعات شما توسط باج افزار Xorist رمزگذاری شده است، می توانید با استفاده از ابزار رمزگشای امسی سافت برای باج افزار Xorist، آن ها را بازگردانی کنید.
همچنین لیست کاملی از ابزارهای رمزگشایی که تا کنون توسط امسی سافت تولید شده است را می توانید در این صفحه مشاهده و دانلود کنید.
ساخت نسخه سفارشی باج افزار Xorist
ایجاد و ساخت نسخه شخصی باج افزار Xorist بسیار آسان است. در حال حاضر با در اختیار داشتن برنامه سازنده این باج افزار با نام Encoder Builder v.24 که به احتمال قوی از دارک وب خریداری شده، می توان نسخه سفارشی خود را تولید کرد. اگر شخصی به برنامه سازنده باج افزار دسترسی پیدا کند، کافیست آن را اجرا کرده و ویژگی های مد نظر خود را انتخاب کند. همانگونه که در تصویر هم مشاهده می کنید، پس از پیکربندی تنظیمات و تعیین ویژگی ها، با کلیک بر روی دکمه Create فایل اجرایی باج افزار تولید می شود و می توان با هر روشی اقدام به انتشار و توزیع باج افزار کرد.
ویژگی های قابل سفارشی شدن عبارتند از:
- یادداشت متنی باج
- پسوند فایل های رمزنگاری شده
- پسوند فایل های مورد هدف
- تعیین میزان محدودیت برای وارد کردن پسورد
- پسورد رمزگشایی
- الگوریتم رمزنگاری (TEA or XOR)
- آیکون فایل اجرایی
- ساخت یادداشت متنی باج در هر فولدر
- اجرای خودکار یا دستی
- تغییر تصویر پس مینه
- نمایش پیغام پس از رمزگذاری فایل ها
همانطور که اشاره کردیم، Xorist باج افزار پیچیده ای نیست اما به دلیل سادگی و در دسترس بودن برنامه سازنده آن، هر کسی می تواند تبدیل به یک توزیع کننده شده و این باج افزار را به سرعت انتشار دهد.
تنظیمات پیش فرض باج افزار Xorist
- الگوریتم رمزنگاری: TEA
- پسورد : 4kuxF2j6JU4i18KGbEYLyK2d
- پسوند فایل: EnCiPhErEd
- نام فایل یادداشت متنی باج افزار: HOW TO DECRYPT FILES.txt
- پسوند فایل های مورد هدف:
*.zip, *.rar, *.7z, *.tar, *.gzip, *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.bmp, *.gif, *.png, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.txt, *.pdf, *.djvu, *.htm, *.html, *.mdb, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.1cd, *.md, *.mdf, *.dbf, *.odt, *.vob, *.ifo, *.lnk, *.torrent, *.mov, *.m2v, *.3gp, *.mpeg, *.mpg, *.flv, *.avi, *.mp4, *.wmv, *.divx, *.mkv, *.mp3, *.wav, *.flac, *.ape, *.wma, *.ac3
باج افزار BooM
باج افزار BooM یک نسخه سفارشی از Xorist است که از یک رابط کاربری جدید استفاده می کند. این باج افزار توسط برنامه سازنده Xorist ساخته شده و کمی با بقیه نسخه های این باج افزار متفاوت است. بر اساس گزارشات، BooM از طریق ایمیل های اسپم و ابزارهای فیک هک شبکه های اجتماعی توزیع می شود شیوع بسیاری در سرتاسر جهان پیدا کرده است.
این باج افزار با ایجاد فرآیند های Tempsvchost.exe و BooM.exe، اطلاعات سیستم را رمزنگاری می کند و برای جلوگیری از بازیابی اطلاعات، Shadow Copy ها را که توسط ویندوز ساخته شده حذف می کند. با این حال می توانید از نسخه های بکاپ شخصی استفاده کرده و آن ها را بازگردانی کنید. فایل های آلوده شده به این باج افزار پسوند BooM دریافت می کنند.
دانلود ابزار رمزگشای امسی سافت برای باج افزار Xorist
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
Emsisoft offering decryption services for the Xorist Ransomware Family
بدون نظر