باج افزار PooleZoor

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام PooleZoor خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران ایرانی می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری استفاده می‌کند و تنها فایل‌هایی با پسوندهای مشخص که بر روی Desktop سیستم قربانیان موجود هستند را رمزگذاری می‌کند. باج افزار مورد اشاره پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به ".PooleZoor" تغییر می‌دهد و از قربانیان تقاضای پرداخت مبلغ یک میلیون تومان به عنوان باج می‌کند که طبق گفته‌ی مهاجمان این مبلغ صرف امور خیریه خواهد شد. از آنجایی که با یک نسخه آفلاین از پروژه متن باز HiddenTear طرف هستیم و با توجه به تشابهات موجود در کد باج‌افزار با نسخه اصلی آن، به نظر می‌رسد مهاجمین صرفاً با اعمال تغییرات اندک در کد منبع این باج‌افزار نسبت به انتشار آن اقدام نموده اند. لذا با توجه به نقایص ذاتی موجود در پروژه HiddenTear ، فایل‌های رمزگذاری شده توسط این باج‌افزار براحتی قابل رمزگشایی می‌باشند.