به گزارش گرداب، باج افزار جدیدی موسوم به PooleZoor کشف شده که فایلهای قربانی را با استاندارد AES رمزگذاری میکند و برای بازیابی فایلهای از دسترفته، مبلغ ۱۰ میلیون ریال درخواست میکند.این باج افزار، پسوند.poolezoor را به فایلهای قربانی اضافه و آنها رمزگذاری میکند.
نکته قابل توجه در این باجافزار، نحوه پرداخت است که روش کار این باج افزار به اینگونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه میکند: http [:]//sep.shapaarak []cf). در این درگاه دروغین، هیچ پرداختی انجام نمیشود، اما مهاجم به اطلاعات کارت و حساب بانکی قربانی دست مییابد.
این باجافزار از طریق پیکربندی محافظتنشده RDP، ایمیلهای اسپم و پیوستهای مشکوک، فایلهای دانلودی، باتنتها، اکسپلویتهای موجود، تزریق وب، بروزرسانیهای جعلی و فایلهای نصبی آلوده ممکن است منتشر شده باشد.
باجافزار PooleZoor، فایلهای اسناد آفیس، OpenOffice، PDF، فایلهای متنی، پایگاههای داده، فایلهای رسانهای تصویر، موسیقی و ویدئو، فایلهای فشرده و ... را رمزگذاری میکند.
در آدرس اصلی درگاه پرداخت شاپرک (https://shaparak.ir) از پروتکل HTTPS بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.
فایلهای مربوط به باجافزار نیز موارد زیر هستند:
• READ_me_for_encrypted_Files.txt: حاوی توضیح مهاجم برای پرداخت باج
• Payment.exe
• [random].exe که یک فایل با نام تصادفی است
کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه میکنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتیویروسهای معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.