باج افزار BitPaymer

• BitPaymer از الگوریتم های RC4 و RSA-1024 برای رمزنگاری فایل ها استفاده می کند و پسوند .locked را به فایل های رمزنگاری شده اضافه می کند.
• آخرین کمپین BitPaymer در طی سه ماه گذشته 15 سازمان در ایالات متحده را هدف قرار داد.

BitPaymer باج افزاری است که سیستم عامل ویندوز را از طریق یک پروتکل ریموت دسکتاپ هدف قرار می دهد. این باج افزار از سال 2017 فعال است.

گروهی که در پشت این باج افزارند از قربانیان تقاضا می کنند تا 3 پیام تایید بیت کوین را قبل از پرداخت کامل ارسال کنند.

توانایی های BitPaymer

این باج افزار توانایی ساخت و کپی خود، پنهان کردن فایل های خالی، پاک کردن فایل های اجرایی قدیمی خود و انتقال کنترل آن به فایل های جدید ایجاد شده را دارد.

باج افزار BitPaymer ضربه ی محکمی به NHS Lanarkshire board زد

در ماه اوت سال 2017، هیئت مدیره NHS Lanarkshire دچار حمله باج افزار BitPaymer شد. این حمله بر روی چندیدن بیمارستان زیر مجموعه اش تاثیر گذاشت. بیمارستان های تحت تاثیر شامل بیمارستان های Hairmyres، بیمارستان Monklands و بیمارستان عمومی Wishaw بودند. اپراتور های این باج افزار خواستار پرداخت 53 بیت کوین شدند.

حمله به شهر آلاسکا

در 24 ماه جولای 2018 باج افزار BitPaymer به شهر الاسکا حمله کرد و بیش از 500 کامپیوتر و 120 سرور را آلوده کرد. این حمله کارکنان را مجبور کرد که با ماشین های تایپ قدیمی کار کنند. این حادثه مقامات را مجبور کرد تا تلفن ها ایمیل ها و سایر دستگاه های شبکه را از اینترنت قطع کنند.

PGA آمریکا دچار حمله این باج افزار شد

در آگوست 2018، انجمن گلف بازان حرفه ای آمریکا مورد حمله قرار گرفتند که به سیستم های رایانه ای PGA ختم شد. در آن زمان بر این باور بودند که این بد افزار مسئول حمله است.

ارتباطات بین Emotet، Ursnif، Dridex و BitPaymer

محققان متوجه ارتباط بین Emotet، Ursnif، Dridex و BitPaymer از اطلاعات open-source شدند.

• تجزیه و تحلیل آنان نشان داد که ساختار داده های داخلی هر 4 مورد یکسان بوده.
• هر 4 payload رمزگشایی نیز در ساختار داده ها یکسان بود و در الگو، آن ها payload های واقعی PE را رمزگشایی می کردند.

BitPaymer شرکت تولیدی در ایالات متحده امریکا را بوسیله PsExec آلوده کرد

در تاریخ فوریه سال 2019، یک نسخه جدید از باج افزار Bitdefender شرکت تولید کننده ای در ایالات متحده آمریکا از طریق PsExec آلوده کرد، که یک ابزار خط فرمان است و اجازه اجرای فرآیند هایی را در کامپیوتر های ریموت می دهد.

برای شروع حمله، مهاجم حسابی را به بوسیله مزایای ادمین به خطر می اندازد. این امر به مهاجمان اجازه می دهد تا دستورات آلوده را اجرا کند که نوعی از  BitPaymer را کپی و اجرا می کند.

ارتباط با DoppelPaymer

اخیرا نوعی از باج افزار بنام DoppelPaymer توسط محققان کشف شده است. این باج افزار اکثر کد ها را بوسیله BitPaymer به اشتراک می گذارد. علاوه بر داشتن کد های مشابه، حتی یادداشت های هر دو باج افزار نیز ماشبه بودند.