ایران یکی از اصلی‌ترین اهداف گردانندگان باج‌افزار ALC

شرکت فورتی‌نت در گزارشی با بررسی و تحلیل دو باج‌‌افزار Sirattacker وALC اعلام کرده است که ایران، در فهرست اصلی‌ترین اهداف گردانندگان باج‌افزار ALC قرار دارد.

به گزارش مرکز مدیریت راهبردی افتا، ALC باج‌افزار جدیدی است که چندین کشور، از جمله ایران را در فهرست اصلی اهداف خود قرار داده است.
هنگامی که باج‌افزار ALC اجرا می‌شود، چندین فایل همانند تصویر زیر را بر روی دسکتاپ دستگاه قربانی ایجاد می‌کند، هر چند که برخی از نسخ آن، فایل AlcDif.exe نشان داده شده در تصویر زیر را ایجاد نمی‌کنند.

فایل RUS!.txt، نام فایل اطلاعیه باج‌گیری باج‌افزار ALC است که به دلیل اشتباهات املایی و دستوری محتوا به نظر می‌رسد فرد یا افرادی غیرانگلیسی‌زبان آن را نوشته‌اند.
در این اطلاعیه از قربانی خواسته شده است که در تلگرام با مهاجم تماس بگیرد؛ با این حال، اطلاعات تماس یا میزان باج مطالبه شده در اطلاعیه باج‌گیری ارائه نشده است.

برخی از نمونه‌های باج‌افزار ALC یک فایل اجرایی به نام AlcDif.exe ایجاد می‌کنند که برای ایجاد یک اطلاعیه باج‌گیری پیچیده‌تر استفاده می‌شود. هنگامی که باج‌افزار فایل AlcDif.exe را اجرا می‌کند، تصویری تمام‌صفحه کل دسکتاپ را می‌پوشاند. محتوای آن نیز سعی در ترساندن قربانیان دارد. اگر قربانی از چندین نمایشگر استفاده کند، تصویر فقط در نمایشگر اصلی نمایش داده می‌شود. این فایل همچنین منجر به قطع و وصل شدن Task Manager می‌شود؛ وقتی فایل برای اولین بار اجرا می‌شود، Task Manager غیرفعال می‌شود، اما اجرای دوباره آن Task Manager را دوباره فعال می‌کند.
نمونه‌ای از تصویر نمایش داده شده توسط AlcDif.exe در زیر قابل مشاهده است:

بر خلاف فایل اطلاعیه باج‌گیری RUS!.txt، در تصویر بالا یک نشانی ایمیل، اطلاعات کیف پول رمزارز مهاجم (Crypto Wallet)، میزان باج مطالبه‌شده و شناسه منحصربه‌فرد اختصاص داده شده به قربانی ارائه شده است. با این حال، کیف پول رمزنگاری ارائه شده وجود ندارد و کد QR آن کار نمی‌کند.

شرکت فورتی‌نت در گزارش خود همچنین به باج افزاری با نام Sirattacker اشاره کرده است که یکی از جدیدترین نسخه‌های خانواده باج‌افزاری Chaos است.
این باج‌افزار نخستین بار در اواسط فوریه 2023 منتشر شد. توزیع‌های مختلفی از Chaos در شبکه‌های زیرزمینی دارک‌وب (Dark Web) قابل دسترس است که امکان ساخت نسخه‌ای از آنها با تنظیمات اختصاصی نیز فراهم است.
به نظر می‌رسد باج‌افزار Sirattacker در ظاهر یک برنامه استخراج رمزارز اتریوم (Ethereum) توزیع و منتشر می‌شود. نماد نمونه‌ای از فایل ناقل این باج‌افزار در زیر نمایش داده شده است.

هنگامی که باج‌افزار Sirattacker اجرا می‌شود، فایل‌های دستگاه قربانی را رمزگذاری کرده و چهار نویسه را به‌صورت تصادفی به‌عنوان پسوند به فایل‌های رمزشده الصاق می‌کند.

نسخ قدیمی‌تر Chaos، فایل‌های بزرگ‌تر از ۲،۱۱۷،۱۵۲ بایت را با بایت‌های تصادفی رونویسی می‌کردند که این امر بازیابی فایل‌ها را غیرممکن می‌کرد. با این حال، در برخی موارد، مهاجمان باج‌افزار Sirattacker با علم به اینکه اکثر فایل‌ها غیرقابل بازیابی هستند، از قربانی درخواست باج می‌کردند. بر اساس بررسی‌های فورتی‌نت، این باگ در نسخ جدید این باج‌افزار برطرف شده است.
اطلاعیه باج‌گیری (Ransom Note) باج‌افزار Sirattacker، فایلی با نام How to Recovery.bat است.
با پایان رمزگذاری فایل‌ها، اطلاعیه باج‌گیری در Command Prompt نمایش داده می‌شود.