محققین Zscaler گزارشی تحلیلی از دو باج افزار متن باز Bugware و Vortex منتشر کرده اند. این دو باج افزار علاوه بر استفاده از ویژگی متن باز بودن، ابتدا به زبان میانی مایکروسافت یا MSIL کامپایل شده و سپس با استفاده از پکر Confuser بسته بندی می شوند.

بر اساس گزارش Zscaler، جامعه هدف باج افزار Bugware کشور برزیل است و درخواست دریافت باج با واحد پولی Monero  صورت می گیرد. این باج افزار با زبان متن باز تروجان نویسی Hidden Tear نوشته شده است که اولین بار در سال 2015 بر روی GitHub قرار گرفت. پیلود مخرب مربوط به این باج افزار از یک گواهی نامه جعلی نامعتبر استفاده می کند که در قالب گواهی معتبر شرکت گازی LTDA ارائه می شود. این باج افزار ابتدا رمزگذاری را در مسیرهای%Desktop%, %Documents%, %Music%, %Pictures% %Videos% انجام داده و سپس به دنبال درایوهای ثابت و جداشدنی رایانه جهت رمزگذاری می رود. روش رمزگذاری بر اساس الگوریتم AES 256 بیتی است که کلید رمز آن با استفاده از کلید عمومی RSA رمز می گردد. سپس به زبان پرتغالی عباراتی با عنوان "کلیه اطلاعات شما رمز شد" به صورت تکراری در پس زمینه رایانه قربانی ظاهر می شود که در زیر آن آدرس ایمیل تماس با هکر آمده است.

باج افزار Vortex نیز به زبان لهستانی بوده و بر اساس الگوریتم AES 256 بیتی عمل می کند و جهت رمزگذاری اسناد، تصاویر و فایل های صوتی و ویدئویی نوشته شده است. کد آن بر مبنای AESxWin که یک ابزار رایگان رمزنگاری است، طراحی شده است.

این باج افزار ابتدا درخواست پرداخت 100 دلار را از قربانی می کند که ظرف 4 روز باید پرداخت شود در غیراینصورت مبلغ دو برابر خواهد شد. ابتدا به صورت رایگان 2 فایل رمزگشایی می گردد و برای مذاکره جهت پرداخت مبلغ دو ایمیل به قربانی ارائه می شود.

طبق اظهارات محققین این شرکت ، باج افزار Vortex با اجرای دستور vssadmin.exe delete shadows /all /Quiet تمامی shadow copyها را از نقطه بازیابی حذف می کند تا امکان بازیابی اطلاعات از نسخه پشتیبان توسط قربانی فراهم نباشد.

- منبع:

https://www.scmagazine.com/researchers-dissect-open-source-ransomware-programs-bugware-and-vortex/article/711305/