Vovalex is likely the first ransomware written in D
يتم توزيع برنامج فدية جديد يسمى Vovalex من خلال برنامج مقرصن مزيف ينتحل صفة أدوات Windows المساعدة مثل CCleaner. عندما يتعلق الأمر بذلك، فإن جميع إصابات برامج الفدية تتلخص في نفس الوظيفة- تشفير ملفات الجهاز ثم إسقاط مذكرة فدية تطالب بالدفع بشكل ما.
على الرغم من أن Vovalex لا يختلف، إلا أن ما يميز برنامج Advanced Intel's Vitali Kremez و MalwareHunterTeam، الذي عثر على برنامج الفدية، هو أنه قد يكون أول برنامج فدية مكتوب بلغة D.
على الرغم من أن Vovalex لا يختلف، إلا أن ما يميز برنامج Advanced Intel's Vitali Kremez و MalwareHunterTeam، الذي عثر على برنامج الفدية، هو أنه قد يكون أول برنامج فدية مكتوب بلغة D.
2021-01-29: #Vovalex #Ransomware ... in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1._deh
2.dp
3.minfo
4.tp
XMR Monero Extortion |D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS— Vitali Kremez (@VK_Intel) January 29, 2021
وفقًا لموقع D، فإن Dlang مستوحى من C ++ ولكنه يشارك مكونات من لغات أخرى. "D هو تتويج لعقود من الخبرة في تنفيذ المجمّعين للعديد من اللغات المتنوعة، ومحاولة إنشاء مشاريع كبيرة باستخدام تلك اللغات. يستمد D الإلهام من تلك اللغات الأخرى (خاصة C ++) ويضفي عليها الخبرة والتطبيق العملي في العالم الحقيقي "، موقع D.
نظرًا لأن مطوري البرامج الضارة لا يستخدمون Dlang بشكل شائع، يعتقد Kremez أن المهاجمين يستخدمون برامج الأمان لتجاوز الاكتشافات.
نظرًا لأن مطوري البرامج الضارة لا يستخدمون Dlang بشكل شائع، يعتقد Kremez أن المهاجمين يستخدمون برامج الأمان لتجاوز الاكتشافات.
يتم توزيع Vovalex كبرنامج مقرصن
تم اكتشاف Vovalex لأول مرة بواسطة MalwareHunterTeam، الذي شارك عينة [VirusTotal] مع BleepingComputer حتى نتمكن من إلقاء نظرة.
يتم توزيع العينة المشتركة التي تم تحليلها بواسطة BleepingComputer كنسخة Warez من الأداة المساعدة CCleaner Windows، كما يتضح من ملف NFO المجمّع أدناه.
عند تنفيذه، سيقوم برنامج الفدية بتشغيل برنامج تثبيت CCleaner شرعي ونسخ نفسه إلى اسم الملف العشوائي في المجلد٪ Temp٪.
سيبدأ برنامج الفدية في تشفير الملفات الموجودة على محرك الأقراص وإلحاق الامتداد .vovalex بأسماء الملفات المشفرة.
عند الانتهاء، ستنشئ برامج الفدية مذكرة فدية باسم README.VOVALEX.txt على سطح المكتب تطلب 0.5 XMR (Monero) لاسترداد برنامج فك التشفير. هذا المبلغ يساوي 69.54 دولارًا تقريبًا بالأسعار الحالية.
في الوقت الحالي، من غير المعروف ما إذا كان يمكن للباحثين فك تشفير برنامج الفدية مجانًا. لحسن الحظ، لم يتم توزيع Vovalex على نطاق واسع في هذا الوقت. إذا اشترك ممثلو التهديد مع مواقع الكراك المزيفة وحزم البرامج الإعلانية، على غرار طريقة توزيع برامج الفدية STOP، فقد تكون لدينا مشكلة أكبر في أيدينا.
